{"id":8432,"date":"2023-08-10T12:00:00","date_gmt":"2023-08-10T09:00:00","guid":{"rendered":"https:\/\/blog.eset.ee\/et\/2023\/08\/10\/moustachedbouncer-shpionazh-protiv-inostrannyh-diplomatov-v-belarusi\/"},"modified":"2023-08-10T12:00:00","modified_gmt":"2023-08-10T09:00:00","slug":"moustachedbouncer-shpionazh-protiv-inostrannyh-diplomatov-v-belarusi","status":"publish","type":"post","link":"https:\/\/blog.eset.ee\/et\/ru\/2023\/08\/10\/moustachedbouncer-shpionazh-protiv-inostrannyh-diplomatov-v-belarusi\/","title":{"rendered":"MoustachedBouncer: \u0428\u043f\u0438\u043e\u043d\u0430\u0436 \u043f\u0440\u043e\u0442\u0438\u0432 \u0438\u043d\u043e\u0441\u0442\u0440\u0430\u043d\u043d\u044b\u0445 \u0434\u0438\u043f\u043b\u043e\u043c\u0430\u0442\u043e\u0432 \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438"},"content":{"rendered":"<p>MoustachedBouncer \u2014 \u044d\u0442\u043e \u0433\u0440\u0443\u043f\u043f\u0430 \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430, \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u0430\u044f ESET Research \u0438 \u0432\u043f\u0435\u0440\u0432\u044b\u0435 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u0430\u044f \u0432 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435. \u0413\u0440\u0443\u043f\u043f\u0430 \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u0435\u0442 \u043a\u0430\u043a \u043c\u0438\u043d\u0438\u043c\u0443\u043c \u0441 2014 \u0433\u043e\u0434\u0430 \u0438 \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u0430 \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0430 \u0438\u043d\u043e\u0441\u0442\u0440\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u0441\u043e\u043b\u044c\u0441\u0442\u0432\u0430 \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438. \u0421 2020 \u0433\u043e\u0434\u0430 MoustachedBouncer, \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0430 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442\u044c \u0430\u0442\u0430\u043a\u0438 \u00ab<a href=\"https:\/\/attack.mitre.org\/versions\/v11\/techniques\/T1557\/\"><em>\u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043f\u043e\u0441\u0435\u0440\u0435\u0434\u0438\u043d\u0435<\/em><\/a>\u00bb (AitM) \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 (ISP) \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438, \u0447\u0442\u043e\u0431\u044b \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0441\u0432\u043e\u0438 \u0446\u0435\u043b\u0438. \u0413\u0440\u0443\u043f\u043f\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u0432\u0430 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0445 \u043d\u0430\u0431\u043e\u0440\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 NightClub \u0438 Disco.<\/p>\n<blockquote>\n<p><strong>\u041a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043c\u043e\u043c\u0435\u043d\u0442\u044b \u044d\u0442\u043e\u0433\u043e \u043e\u0442\u0447\u0435\u0442\u0430:<\/strong><\/p>\n<ul>\n<li><em>MoustachedBouncer \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u0435\u0442 \u043a\u0430\u043a \u043c\u0438\u043d\u0438\u043c\u0443\u043c \u0441 2014 \u0433\u043e\u0434\u0430.<\/em><\/li>\n<li><em>\u041c\u044b \u0441 \u0443\u043c\u0435\u0440\u0435\u043d\u043d\u043e\u0439 \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u043e\u043d\u0438 \u0441\u0432\u044f\u0437\u0430\u043d\u044b \u0441 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0430\u043c\u0438 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438.<\/em><\/li>\n<li><em>MoustachedBouncer \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043d\u0430 \u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0435 \u0437\u0430 \u0438\u043d\u043e\u0441\u0442\u0440\u0430\u043d\u043d\u044b\u043c\u0438 \u043f\u043e\u0441\u043e\u043b\u044c\u0441\u0442\u0432\u0430\u043c\u0438 \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438.<\/em><\/li>\n<li><em>MoustachedBouncer \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0442\u0435\u0445\u043d\u0438\u043a\u0443 \u00ab\u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043f\u043e\u0441\u0435\u0440\u0435\u0434\u0438\u043d\u0435\u00bb \u0441 2020 \u0433\u043e\u0434\u0430 \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043e\u043a captive portal \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440 C&amp;C \u0438 \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043f\u043b\u0430\u0433\u0438\u043d\u043e\u0432 \u0447\u0435\u0440\u0435\u0437 \u043e\u0431\u0449\u0438\u0435 \u0440\u0435\u0441\u0443\u0440\u0441\u044b SMB.<\/em><\/li>\n<li><em>\u041c\u044b \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e MoustachedBouncer \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0441\u0438\u0441\u0442\u0435\u043c\u0443 \u0437\u0430\u043a\u043e\u043d\u043d\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, SORM) \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0441\u0432\u043e\u0438\u0445 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0439 AitM.<\/em><\/li>\n<li><em>\u041c\u044b \u0441 \u043d\u0438\u0437\u043a\u043e\u0439 \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e MoustachedBouncer \u0442\u0435\u0441\u043d\u043e \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u0447\u0430\u0435\u0442 \u0441 Winter Vivern, \u0434\u0440\u0443\u0433\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u043e\u0439, \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u043d\u043e\u0439 \u043d\u0430 \u0435\u0432\u0440\u043e\u043f\u0435\u0439\u0441\u043a\u0438\u0445 \u0434\u0438\u043f\u043b\u043e\u043c\u0430\u0442\u043e\u0432, \u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0435\u0439 \u0434\u0440\u0443\u0433\u0438\u0435 TTP.<\/em><\/li>\n<li><em>\u0421 2014 \u0433\u043e\u0434\u0430 \u0433\u0440\u0443\u043f\u043f\u0430 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u0443\u0435\u0442 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 NightClub. \u041e\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u044b SMTP \u0438 IMAP (\u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u0430\u044f \u043f\u043e\u0447\u0442\u0430) \u0434\u043b\u044f \u0441\u0432\u044f\u0437\u0438 C&amp;C.<\/em><\/li>\n<li><em>\u041d\u0430\u0447\u0438\u043d\u0430\u044f \u0441 2020 \u0433\u043e\u0434\u0430, \u0433\u0440\u0443\u043f\u043f\u0430 \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u044c\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0432\u0442\u043e\u0440\u043e\u0439 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 Disco.<\/em><\/li>\n<li><em>\u041a\u0430\u043a NightClub, \u0442\u0430\u043a \u0438 Disco \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0448\u043f\u0438\u043e\u043d\u0441\u043a\u0438\u0435 \u043f\u043b\u0430\u0433\u0438\u043d\u044b, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0441\u043d\u0438\u043c\u043a\u043e\u0432 \u044d\u043a\u0440\u0430\u043d\u0430, \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e \u0437\u0430\u043f\u0438\u0441\u0438 \u0437\u0432\u0443\u043a\u0430 \u0438 \u043f\u043e\u0445\u0438\u0442\u0438\u0442\u0435\u043b\u044c \u0444\u0430\u0439\u043b\u043e\u0432.<\/em><\/li>\n<\/ul>\n<\/blockquote>\n<blockquote>\n<p>\u0421\u043b\u043e\u0436\u043d\u044b\u0435 \u0442\u0430\u043a\u0442\u0438\u043a\u0438, \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u0438 \u043f\u0440\u043e\u0446\u0435\u0434\u0443\u0440\u044b \u0433\u0440\u0443\u043f\u043f\u044b \u0442\u0430\u043a\u0436\u0435 \u043e\u0431\u0441\u0443\u0436\u0434\u0430\u043b\u0438\u0441\u044c \u0432 \u043f\u043e\u0434\u043a\u0430\u0441\u0442\u0435 ESET Research. \u041f\u0440\u043e\u0441\u0442\u043e \u043d\u0430\u0436\u043c\u0438\u0442\u0435 play, \u0447\u0442\u043e\u0431\u044b \u0443\u0437\u043d\u0430\u0442\u044c \u0431\u043e\u043b\u044c\u0448\u0435 \u043e\u0442 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0430 \u043e\u0442\u0434\u0435\u043b\u0430 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0439 \u0443\u0433\u0440\u043e\u0437 ESET \u0416\u0430\u043d\u0430-\u042f\u043d\u0430 \u0411\u0443\u0442\u0435\u043d\u0430 \u0438 \u0432\u0435\u0434\u0443\u0449\u0435\u0433\u043e \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044f ESET \u0410\u0440\u044c\u0435 \u0413\u043e\u0440\u0435\u0446\u043a\u043e\u0433\u043e.<\/p>\n<\/p>\n<\/blockquote>\n<h2>\u0416\u0435\u0440\u0442\u0432\u044b<\/h2>\n<p>\u0421\u043e\u0433\u043b\u0430\u0441\u043d\u043e \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0438 ESET, \u0433\u0440\u0443\u043f\u043f\u0430 \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u0430 \u043d\u0430 \u0438\u043d\u043e\u0441\u0442\u0440\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u0441\u043e\u043b\u044c\u0441\u0442\u0432\u0430 \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438, \u0438 \u043c\u044b \u0432\u044b\u044f\u0432\u0438\u043b\u0438 \u0447\u0435\u0442\u044b\u0440\u0435 \u0441\u0442\u0440\u0430\u043d\u044b, \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u043a\u0438 \u043f\u043e\u0441\u043e\u043b\u044c\u0441\u0442\u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0441\u0442\u0430\u043b\u0438 \u043c\u0438\u0448\u0435\u043d\u044f\u043c\u0438: \u0434\u0432\u0435 \u0438\u0437 \u0415\u0432\u0440\u043e\u043f\u044b, \u043e\u0434\u043d\u0430 \u0438\u0437 \u042e\u0436\u043d\u043e\u0439 \u0410\u0437\u0438\u0438 \u0438 \u043e\u0434\u043d\u0430 \u0438\u0437 \u0410\u0444\u0440\u0438\u043a\u0438. \u041a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u0434\u0430\u0442\u044b \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u044b \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 1.<\/p>\n<figure><img decoding=\"async\" alt=\"MoustachedBouncer_Timeline_edited\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/moustachedbouncer-timeline-edited.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 1. \u0412\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f \u0448\u043a\u0430\u043b\u0430 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 MoustachedBouncer\" width=\"\"><figcaption>\n<p><a><\/a><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">1<\/span><\/em><span lang=\"EN-US\"><em>. \u0412\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f \u0448\u043a\u0430\u043b\u0430 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 MoustachedBouncer<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<h2>\u0410\u0442\u0440\u0438\u0431\u0443\u0446\u0438\u044f<\/h2>\n<p>\u0425\u043e\u0442\u044f \u043c\u044b \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u043c MoustachedBouncer \u043a\u0430\u043a \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u0443\u044e \u0433\u0440\u0443\u043f\u043f\u0443, \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u043d\u0430\u043c \u0441 \u043d\u0438\u0437\u043a\u043e\u0439 \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0442\u044c, \u0447\u0442\u043e \u043e\u043d\u0438 \u0442\u0435\u0441\u043d\u043e \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u0447\u0430\u044e\u0442 \u0441 \u0434\u0440\u0443\u0433\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u043e\u0439, \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0439 \u043a\u0430\u043a Winter Vivern. \u041f\u043e\u0441\u043b\u0435\u0434\u043d\u044f\u044f \u0431\u044b\u043b\u0430 <a href=\"https:\/\/www.domaintools.com\/resources\/blog\/winter-vivern-a-look-at-re-crafted-government-maldocs\/\"><em>\u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0430<\/em><\/a> \u0432 2021 \u0433\u043e\u0434\u0443 \u0438 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0439 \u043f\u043e \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u044e \u043d\u0430 2023 \u0433\u043e\u0434. \u0412 \u043c\u0430\u0440\u0442\u0435 2023 \u0433\u043e\u0434\u0430 Winter Vivern \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0443\u044e \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c XSS (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-27926\"><em>CVE-2022-27926<\/em><\/a>) \u0432 \u043f\u043e\u0447\u0442\u043e\u0432\u043e\u043c \u043f\u043e\u0440\u0442\u0430\u043b\u0435 Zimbra \u0434\u043b\u044f \u043a\u0440\u0430\u0436\u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0432\u0435\u0431-\u043f\u043e\u0447\u0442\u044b \u0434\u0438\u043f\u043b\u043e\u043c\u0430\u0442\u043e\u0432 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0435\u0432\u0440\u043e\u043f\u0435\u0439\u0441\u043a\u0438\u0445 \u0441\u0442\u0440\u0430\u043d. \u042d\u0442\u0430 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f \u0431\u044b\u043b\u0430 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u0430 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438 <a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/exploitation-dish-best-served-cold-winter-vivern-uses-known-zimbra-vulnerability\"><em>Proofpoint<\/em><\/a>.<\/p>\n<p>\u0414\u0435\u044f\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c MoustachedBouncer \u043e\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u043f\u0435\u0440\u0438\u043e\u0434 \u0441 2014 \u043f\u043e 2022 \u0433\u043e\u0434, \u0438 TTP \u0433\u0440\u0443\u043f\u043f\u044b \u0441\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0435\u043c \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u043b\u0438\u0441\u044c. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043c\u044b \u0432\u043f\u0435\u0440\u0432\u044b\u0435 \u0443\u0432\u0438\u0434\u0435\u043b\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0438\u043c\u0438 \u0430\u0442\u0430\u043a AitM \u0442\u043e\u043b\u044c\u043a\u043e \u0432 2020 \u0433\u043e\u0434\u0443. \u041e\u0434\u043d\u0430\u043a\u043e \u0446\u0435\u043b\u0435\u0432\u0430\u044f \u0432\u0435\u0440\u0442\u0438\u043a\u0430\u043b\u044c \u043e\u0441\u0442\u0430\u0432\u0430\u043b\u0430\u0441\u044c \u043f\u0440\u0435\u0436\u043d\u0435\u0439.<\/p>\n<p>\u0422\u0430\u0431\u043b\u0438\u0446\u0430 1 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u0438\u0441\u0442\u0438\u043a\u0438 \u043a\u0430\u0436\u0434\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438. \u0423\u0447\u0438\u0442\u044b\u0432\u0430\u044f \u044d\u0442\u0438 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u044b, \u043c\u044b \u0441 \u0432\u044b\u0441\u043e\u043a\u043e\u0439 \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u0432\u0441\u0435 \u043e\u043d\u0438 \u0441\u0432\u044f\u0437\u0430\u043d\u044b \u0441 MoustachedBouncer.<\/p>\n<p><em><a><\/a><span lang=\"EN-US\">\u0422\u0430\u0431\u043b\u0438\u0446\u0430 <\/span><span><span lang=\"EN-US\">1<\/span><\/span><\/em><span lang=\"EN-US\"><em>. \u0421\u0432\u044f\u0437\u0438 \u043c\u0435\u0436\u0434\u0443 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u043c\u0438 MoustachedBouncer<\/em><\/span><\/p>\n<\/p>\n<div align=\"center\">\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\">\n<tbody>\n<tr>\n<td width=\"123\">\n<p><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"79\">\n<p align=\"center\"><strong><span lang=\"EN-US\">VirusTotal<br \/>(2014)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"83\">\n<p align=\"center\"><strong><span lang=\"EN-US\">\u0416\u0435\u0440\u0442\u0432\u0430 A (2017)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">\u0416\u0435\u0440\u0442\u0432\u0430 B<br \/><span><br \/>\n<\/span>(2020-2022)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">\u0416\u0435\u0440\u0442\u0432\u0430 C<br \/>(2020-2022)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"137\">\n<p align=\"center\"><strong><span lang=\"EN-US\">\u0416\u0435\u0440\u0442\u0432\u0430 D<br \/>(2021-2022)<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"123\">\n<p><strong><span lang=\"EN-US\">\u0438\u043c\u043f\u043b\u0430\u043d\u0442 NightClub<\/span><\/strong><\/p>\n<\/td>\n<td width=\"79\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"83\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"137\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"123\">\n<p><strong><span lang=\"EN-US\">\u043f\u043b\u0430\u0433\u0438\u043d\u044b NightClub<\/span><\/strong><\/p>\n<\/td>\n<td width=\"79\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"83\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"137\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"123\">\n<p><strong><span lang=\"EN-US\">\u0438\u043c\u043f\u043b\u0430\u043d\u0442 Disco<\/span><\/strong><\/p>\n<\/td>\n<td width=\"79\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"83\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"137\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"123\">\n<p><strong><span lang=\"EN-US\">\u0434\u0440\u043e\u043f\u043f\u0435\u0440 SharpDisco<\/span><\/strong><\/p>\n<\/td>\n<td width=\"79\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"83\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"137\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"123\">\n<p><strong><span lang=\"EN-US\">\u041a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f \u0447\u0435\u0440\u0435\u0437 AitM<\/span><\/strong><\/p>\n<\/td>\n<td width=\"79\">\n<p align=\"center\"><strong><span lang=\"EN-US\">?<\/span><\/strong><\/p>\n<\/td>\n<td width=\"83\">\n<p align=\"center\"><strong><span lang=\"EN-US\">?<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">?<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">?<\/span><\/strong><\/p>\n<\/td>\n<td width=\"137\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"123\">\n<p><strong><span lang=\"EN-US\">\u0414\u043e\u0441\u0442\u0430\u0432\u043a\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u0447\u0435\u0440\u0435\u0437 AitM \u043f\u043e SMB-\u0448\u0430\u0440\u0430\u043c<\/span><\/strong><\/p>\n<\/td>\n<td width=\"79\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"83\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\"><br \/>\n<\/span><\/strong><\/p>\n<\/td>\n<td width=\"137\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"123\">\n<p><strong><span lang=\"EN-US\">\u0416\u0435\u0440\u0442\u0432\u044b: \u0438\u043d\u043e\u0441\u0442\u0440\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u0441\u043e\u043b\u044c\u0441\u0442\u0432\u0430 \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438<\/span><\/strong><\/p>\n<\/td>\n<td width=\"79\">\n<p align=\"center\"><strong><span lang=\"EN-US\">? <\/span><\/strong><\/p>\n<\/td>\n<td width=\"83\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"99\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<td width=\"137\">\n<p align=\"center\"><strong><span lang=\"EN-US\">X<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<div align=\"center\">\n<\/div>\n<h2>\u0412\u0435\u043a\u0442\u043e\u0440 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438: AitM<\/h2>\n<p>\u0412 \u044d\u0442\u043e\u043c \u0440\u0430\u0437\u0434\u0435\u043b\u0435 \u043c\u044b \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u043c \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u0434\u043b\u044f Disco. \u041c\u044b \u0435\u0449\u0435 \u043d\u0435 \u0437\u043d\u0430\u0435\u043c \u043c\u0435\u0442\u043e\u0434 \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 MoustachedBouncer \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 NightClub.<\/p>\n<h3>\u0424\u0435\u0439\u043a\u043e\u0432\u043e\u0435 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 Windows<\/h3>\n<p>\u0414\u043b\u044f \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 \u0441\u0432\u043e\u0438\u0445 \u0446\u0435\u043b\u0435\u0439 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b MoustachedBouncer \u0432\u043c\u0435\u0448\u0438\u0432\u0430\u044e\u0442\u0441\u044f \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0441\u0432\u043e\u0438\u0445 \u0436\u0435\u0440\u0442\u0432, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430, \u0447\u0442\u043e\u0431\u044b \u0437\u0430\u0441\u0442\u0430\u0432\u0438\u0442\u044c Windows \u043f\u043e\u0432\u0435\u0440\u0438\u0442\u044c, \u0447\u0442\u043e \u043e\u043d\u0430 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0437\u0430 captive portal. <a href=\"https:\/\/docs.microsoft.com\/en-us\/troubleshoot\/windows-client\/networking\/internet-explorer-edge-open-connect-corporate-public-network\"><em>Windows 10 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442<\/em><\/a>, \u0438\u043c\u0435\u0435\u0442 \u043b\u0438 \u043e\u043d\u0430 \u0434\u043e\u0441\u0442\u0443\u043f \u0432 \u0418\u043d\u0442\u0435\u0440\u043d\u0435\u0442, \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u044f HTTP-\u0437\u0430\u043f\u0440\u043e\u0441 \u043d\u0430 <span>http:\/\/www.msftconnecttest.com\/connecttest.txt<\/span>. \u0415\u0441\u043b\u0438 \u043e\u0442\u0432\u0435\u0442 \u043d\u0435 \u00ab<span>Microsoft Connect Test<\/span>\u00bb, \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043e\u043a\u043d\u043e \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 <span>http:\/\/www.msftconnecttest.com\/redirect<\/span>. \u0414\u043b\u044f IP-\u0434\u0438\u0430\u043f\u0430\u0437\u043e\u043d\u043e\u0432, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u0430 MoustachedBouncer, \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0442\u0440\u0430\u0444\u0438\u043a \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430, \u0438 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0439 URL \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0430 \u044f\u043a\u043e\u0431\u044b \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0439, \u043d\u043e \u043f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u044b\u0439 URL \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Windows, <span>http:\/\/updates.microsoft[.]com\/<\/span>. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Windows \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u0430 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0436\u0435\u0440\u0442\u0432\u0435 \u043f\u0440\u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043a \u0441\u0435\u0442\u0438. \u041f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u0430 \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 2. \u0422\u0435\u043a\u0441\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438, \u043d\u0430 \u0440\u0443\u0441\u0441\u043a\u043e\u043c \u044f\u0437\u044b\u043a\u0435, \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u043f\u043e\u0442\u043e\u043c\u0443, \u0447\u0442\u043e \u044d\u0442\u043e \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u044f\u0437\u044b\u043a, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438, \u043d\u043e \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043e\u0432\u0430\u043d\u0438\u0435 \u0432\u0435\u0440\u0441\u0438\u0439 \u043d\u0430 \u0434\u0440\u0443\u0433\u0438\u0445 \u044f\u0437\u044b\u043a\u0430\u0445. \u041d\u0430 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0435 \u0443\u043a\u0430\u0437\u0430\u043d\u043e, \u0447\u0442\u043e \u0438\u043c\u0435\u044e\u0442\u0441\u044f \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 2. \u041f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Windows\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/picture1.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 2. \u041f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Windows\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">2<\/span><\/em><span lang=\"EN-US\"><em>. \u041f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Windows<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u043d\u0435\u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 HTTP, \u0430 \u043d\u0435 HTTPS, \u0438 \u0447\u0442\u043e \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d <span>updates.microsoft[.]com<\/span> \u043d\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0432 DNS-\u0441\u0435\u0440\u0432\u0435\u0440\u0430\u0445 Microsoft, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043e\u043d \u043d\u0435 \u0440\u0430\u0437\u0440\u0435\u0448\u0430\u0435\u0442\u0441\u044f \u0432 \u043e\u0442\u043a\u0440\u044b\u0442\u043e\u043c \u0418\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0435. \u0412\u043e \u0432\u0440\u0435\u043c\u044f \u0430\u0442\u0430\u043a\u0438 \u044d\u0442\u043e\u0442 \u0434\u043e\u043c\u0435\u043d \u0440\u0430\u0437\u0440\u0435\u0448\u0430\u043b\u0441\u044f \u0432 <span>5.45.121[.]106<\/span> \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0435 \u0446\u0435\u043b\u0438. \u042d\u0442\u043e\u0442 IP-\u0430\u0434\u0440\u0435\u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u043f\u0430\u0440\u043a\u043e\u0432\u043a\u0438 \u0434\u043e\u043c\u0435\u043d\u043e\u0432 \u0438 \u043d\u0435 \u0438\u043c\u0435\u0435\u0442 \u043e\u0442\u043d\u043e\u0448\u0435\u043d\u0438\u044f \u043a Microsoft. \u0425\u043e\u0442\u044f \u044d\u0442\u043e IP-\u0430\u0434\u0440\u0435\u0441, \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0438\u0440\u0443\u0435\u043c\u044b\u0439 \u0432 \u0418\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0435, \u0442\u0440\u0430\u0444\u0438\u043a \u043d\u0430 \u044d\u0442\u043e\u0442 IP-\u0430\u0434\u0440\u0435\u0441 \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u043d\u0435 \u0434\u043e\u0441\u0442\u0438\u0433\u0430\u0435\u0442 \u0418\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430 \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0439 \u0430\u0442\u0430\u043a\u0438 AitM. \u041a\u0430\u043a \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u0435 DNS, \u0442\u0430\u043a \u0438 \u043e\u0442\u0432\u0435\u0442\u044b HTTP \u0431\u044b\u043b\u0438 \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u044b \u0432 \u0442\u0440\u0430\u043d\u0437\u0438\u0442, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430.<\/p>\n<p>\u0412\u0430\u0436\u043d\u043e \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u0442\u0435\u0445\u043d\u0438\u043a\u0430 \u00ab\u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043f\u043e\u0441\u0435\u0440\u0435\u0434\u0438\u043d\u0435\u00bb (AitM) \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u043e\u0442\u0438\u0432 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0432\u044b\u0431\u0440\u0430\u043d\u043d\u044b\u0445 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0439 (\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u043e\u0441\u043e\u043b\u044c\u0441\u0442\u0432), \u0430 \u043d\u0435 \u043f\u043e \u0432\u0441\u0435\u0439 \u0441\u0442\u0440\u0430\u043d\u0435. \u041d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u0432\u043e\u0441\u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0441\u0442\u0438 \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435, \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u044b\u0439\u0434\u044f \u0438\u0437 \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u043e\u0433\u043e IP-\u0430\u0434\u0440\u0435\u0441\u0430 \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438.<\/p>\n<h3>\u0414\u043e\u0441\u0442\u0430\u0432\u043a\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e<\/h3>\n<p>HTML-\u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430, \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u0430\u044f \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 2, \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 JavaScript-\u043a\u043e\u0434 \u0441 <span>http:\/\/updates.microsoft[.]com\/jdrop.js<\/span>. \u042d\u0442\u043e\u0442 \u0441\u043a\u0440\u0438\u043f\u0442 \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442 <span>setTimeout<\/span> \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <span>jdrop<\/span> \u0447\u0435\u0440\u0435\u0437 \u043e\u0434\u043d\u0443 \u0441\u0435\u043a\u0443\u043d\u0434\u0443 \u043f\u043e\u0441\u043b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u044b. \u042d\u0442\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u044f (\u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 3) \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u0442 \u043c\u043e\u0434\u0430\u043b\u044c\u043d\u043e\u0435 \u043e\u043a\u043d\u043e \u0441 \u043a\u043d\u043e\u043f\u043a\u043e\u0439 <span>\u041f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f<\/span>.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 3. \u0424\u0443\u043d\u043a\u0446\u0438\u044f jdrop\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/jdrop.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 3. \u0424\u0443\u043d\u043a\u0446\u0438\u044f jdrop\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">3<\/span><span lang=\"EN-US\">. <\/span><span><span lang=\"EN-US\">\u0424\u0443\u043d\u043a\u0446\u0438\u044f jdrop<\/span><\/span><\/em><span lang=\"EN-US\"><em><\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u0429\u0435\u043b\u0447\u043e\u043a \u043f\u043e \u043a\u043d\u043e\u043f\u043a\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0444\u0443\u043d\u043a\u0446\u0438\u044e <span>update<\/span>, \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u0443\u044e \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 4.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 4. \u0424\u0443\u043d\u043a\u0446\u0438\u044f update\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/update-js.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 4. \u0424\u0443\u043d\u043a\u0446\u0438\u044f update\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">4<\/span><span lang=\"EN-US\">. <\/span><span><span lang=\"EN-US\">\u0424\u0443\u043d\u043a\u0446\u0438\u044f update<\/span><\/span><\/em><span lang=\"EN-US\"><em><\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u042d\u0442\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0444\u0435\u0439\u043a\u043e\u0432\u043e\u0433\u043e \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0449\u0438\u043a\u0430 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0439 Windows \u0441 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u043e \u0432\u044b\u0433\u043b\u044f\u0434\u044f\u0449\u0435\u0433\u043e URL <span>http:\/\/updates.microsoft[.]com\/MicrosoftUpdate845255.zip<\/span>. \u041e\u043d\u0430 \u0442\u0430\u043a\u0436\u0435 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0438 \u043f\u043e \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0435 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f: <span>\u0414\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0439, \u0441\u043a\u0430\u0447\u0430\u0439\u0442\u0435 \u0438 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u0435 &#171;MicrosoftUpdate845255.msi&#187;<\/span>.<\/p>\n<p>\u041d\u0430\u043c \u043d\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b <span>MicrosoftUpdate845255.zip<\/span>, \u043d\u043e \u043d\u0430\u0448\u0430 \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u044f \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e \u043e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <span>MicrosoftUpdate845255.exe<\/span>.<\/p>\n<p>\u041d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 Go, \u043e\u043d \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043a\u0430\u0436\u0434\u0443\u044e \u043c\u0438\u043d\u0443\u0442\u0443 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 <span>\\35.214.56[.]2OfficeBrokerOfficeBroker.exe<\/span>. \u041a\u0430\u043a \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u0438\u0437 \u043f\u0443\u0442\u0438, \u043e\u043d \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b \u0447\u0435\u0440\u0435\u0437 SMB \u0441 <span>35.214.56[.]2<\/span>. \u042d\u0442\u043e\u0442 IP-\u0430\u0434\u0440\u0435\u0441 \u043f\u0440\u0438\u043d\u0430\u0434\u043b\u0435\u0436\u0438\u0442 \u043a\u043b\u0438\u0435\u043d\u0442\u0443 Google Cloud, \u043d\u043e, \u043a\u0430\u043a \u0438 HTTP-\u0441\u0435\u0440\u0432\u0435\u0440, \u043c\u044b \u0441\u0447\u0438\u0442\u0430\u0435\u043c, \u0447\u0442\u043e \u043e\u0442\u0432\u0435\u0442\u044b SMB \u0432\u043d\u0435\u0434\u0440\u044f\u044e\u0442\u0441\u044f \u043d\u0430 \u043b\u0435\u0442\u0443 \u0447\u0435\u0440\u0435\u0437 AitM, \u0438 \u0447\u0442\u043e \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u043d\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u0443\u044e\u0442 \u0444\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 IP-\u0430\u0434\u0440\u0435\u0441, \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0438\u0440\u0443\u0435\u043c\u044b\u0439 \u0432 \u0418\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0435.<\/p>\n<p>\u041c\u044b \u0442\u0430\u043a\u0436\u0435 \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 SMB-\u0441\u0435\u0440\u0432\u0435\u0440\u044b, \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0447\u0435\u043d\u043d\u044b\u0435 \u0447\u0435\u0440\u0435\u0437 AitM:<\/p>\n<ul>\n<li><span>\\209.19.37[.]184<\/span><\/li>\n<li><span>\\38.9.8[.]78<\/span><\/li>\n<li><span>\\59.6.8[.]25<\/span><\/li>\n<\/ul>\n<p>\u041c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 \u044d\u0442\u043e \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u0432 \u0434\u0432\u0443\u0445 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0445 \u0441\u0435\u0442\u044f\u0445 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u043e\u0432: Unitary Enterprise A1 \u0438 Beltelecom. \u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u044c, \u0447\u0442\u043e \u044d\u0442\u0438 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u044b \u043c\u043e\u0433\u0443\u0442 \u043d\u0435 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0442\u044c \u043f\u043e\u043b\u043d\u0443\u044e \u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u0438 \u0446\u0435\u043b\u043e\u0441\u0442\u043d\u043e\u0441\u0442\u044c \u0434\u0430\u043d\u043d\u044b\u0445. \u041c\u044b \u043d\u0430\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u043c \u0438\u043d\u043e\u0441\u0442\u0440\u0430\u043d\u043d\u044b\u043c \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f\u043c \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u043a\u0432\u043e\u0437\u043d\u043e\u0439 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 VPN-\u0442\u0443\u043d\u043d\u0435\u043b\u044c, \u0436\u0435\u043b\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0432\u043d\u0435\u043f\u043e\u043b\u043e\u0441\u043d\u044b\u0439 (\u0442\u043e \u0435\u0441\u0442\u044c \u043d\u0435 \u0441 \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u0439 \u0442\u043e\u0447\u043a\u0438), \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044e\u0449\u0438\u0439 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043a \u0418\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0443 \u0438\u0437 \u0434\u043e\u0432\u0435\u0440\u0435\u043d\u043d\u043e\u0439 \u0441\u0435\u0442\u0438.<\/p>\n<p>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 5 \u0438\u0437\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u0442 \u043d\u0430\u0448\u0443 \u0433\u0438\u043f\u043e\u0442\u0435\u0437\u0443 \u043e \u0432\u0435\u043a\u0442\u043e\u0440\u0435 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 \u0438 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0435 \u0442\u0440\u0430\u0444\u0438\u043a\u0430.<\/p>\n<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 5. \u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 \u0447\u0435\u0440\u0435\u0437 AitM\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/slide1.jpeg\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 5. \u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 \u0447\u0435\u0440\u0435\u0437 AitM\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">5<\/span><\/em><span lang=\"EN-US\"><em>. \u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 \u0447\u0435\u0440\u0435\u0437 AitM<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<h3>AitM \u2013 \u041e\u0431\u0449\u0438\u0435 \u0441\u043e\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u044f<\/h3>\n<p>\u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439 AitM \u043d\u0430\u043f\u043e\u043c\u0438\u043d\u0430\u0435\u0442 \u043d\u0430\u043c \u043e \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u0445 Turla \u0438 StrongPity, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0434\u043c\u0435\u043d\u044f\u043b\u0438 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0449\u0438\u043a\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c \u043d\u0430 \u043b\u0435\u0442\u0443 \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430.<\/p>\n<p>\u041e\u0431\u044b\u0447\u043d\u043e \u044d\u0442\u043e\u0442 \u043c\u0435\u0442\u043e\u0434 \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u043c\u0438, \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u043c\u0438 \u0432 \u0441\u0432\u043e\u0435\u0439 \u0441\u0442\u0440\u0430\u043d\u0435, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043e\u043d \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430\u043c \u0438\u043b\u0438 \u0438\u0445 \u0432\u044b\u0448\u0435\u0441\u0442\u043e\u044f\u0449\u0438\u043c \u043f\u043e\u0441\u0442\u0430\u0432\u0449\u0438\u043a\u0430\u043c. \u0412\u043e \u043c\u043d\u043e\u0433\u0438\u0445 \u0441\u0442\u0440\u0430\u043d\u0430\u0445 \u0441\u043b\u0443\u0436\u0431\u044b \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0438\u043c\u0435\u044e\u0442 \u043f\u0440\u0430\u0432\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u0442\u0430\u043a \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u043c\u044b\u0439 \u00ab\u0437\u0430\u043a\u043e\u043d\u043d\u044b\u0439 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u00bb \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0445 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432, \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u0432 \u043f\u043e\u043c\u0435\u0449\u0435\u043d\u0438\u044f\u0445 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u043e\u0432.<\/p>\n<p>\u0412 \u0420\u043e\u0441\u0441\u0438\u0438 \u0437\u0430\u043a\u043e\u043d 2014 \u0433\u043e\u0434\u0430 \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u043e\u0442 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u043e\u0432 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/en.wikipedia.org\/wiki\/SORM\"><em>\u0421\u041e\u0420\u041c-3<\/em><\/a>, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0424\u0435\u0434\u0435\u0440\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u043b\u0443\u0436\u0431\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0424\u0421\u0411) <a href=\"https:\/\/www.csis.org\/analysis\/reference-note-russian-communications-surveillance\"><em>\u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442\u044c \u0446\u0435\u043b\u0435\u0432\u0443\u044e \u0441\u043b\u0435\u0436\u043a\u0443<\/em><\/a>. \u0423\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u043e\u0431\u043b\u0430\u0434\u0430\u044e\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044f\u043c\u0438 \u0433\u043b\u0443\u0431\u043e\u043a\u043e\u0439 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043f\u0430\u043a\u0435\u0442\u043e\u0432 (DPI) \u0438, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c Turla \u0432 \u0438\u0445 <a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2018\/01\/ESET_Turla_Mosquito.pdf\"><em>\u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Mosquito<\/em><\/a>.<\/p>\n<p>\u0412 2018 \u0433\u043e\u0434\u0443 Citizen Lab \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0430, \u0447\u0442\u043e \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 DPI, \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u044b\u0435 \u043a\u0430\u043d\u0430\u0434\u0441\u043a\u043e\u0439 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0435\u0439 Sandvine, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0434\u043b\u044f \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f HTTP-\u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u0432 \u0422\u0443\u0440\u0446\u0438\u0438 \u0438 \u0415\u0433\u0438\u043f\u0442\u0435. \u0412 \u0422\u0443\u0440\u0446\u0438\u0438 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430, \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u0435\u043b\u044c\u043d\u043e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043d\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0435\u0440 \u043f\u0440\u0438 \u043f\u043e\u043f\u044b\u0442\u043a\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 Windows, \u0447\u0442\u043e \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0434\u0435\u044f\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 StrongPity. \u0412 \u0415\u0433\u0438\u043f\u0442\u0435 \u044d\u0442\u0438 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430, \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u0435\u043b\u044c\u043d\u043e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0434\u043b\u044f \u043f\u043e\u043a\u0430\u0437\u0430 \u0440\u0435\u043a\u043b\u0430\u043c\u044b \u0438 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432 \u043c\u0430\u0439\u043d\u0438\u043d\u0433\u0430 \u043a\u0440\u0438\u043f\u0442\u043e\u0432\u0430\u043b\u044e\u0442 \u0441 \u0446\u0435\u043b\u044c\u044e \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u0431\u044b\u043b\u0438.<\/p>\n<p>\u0412 2020 \u0433\u043e\u0434\u0443 <a href=\"https:\/\/www.bloomberg.com\/news\/articles\/2020-08-28\/belarusian-officials-shut-down-internet-with-technology-made-by-u-s-firm\"><em>\u0441\u0442\u0430\u0442\u044c\u044f Bloomberg<\/em><\/a> \u043f\u043e\u043a\u0430\u0437\u0430\u043b\u0430, \u0447\u0442\u043e \u0431\u0435\u043b\u043e\u0440\u0443\u0441\u0441\u043a\u0438\u0439 \u041d\u0430\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0439 \u0446\u0435\u043d\u0442\u0440 \u043e\u0431\u043c\u0435\u043d\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u043e\u043c \u043f\u0440\u0438\u043e\u0431\u0440\u0435\u043b \u0442\u043e \u0436\u0435 \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u0435 DPI \u043e\u0442 Sandvine, \u043d\u043e, \u0441\u043e\u0433\u043b\u0430\u0441\u043d\u043e <a href=\"https:\/\/www.cyberscoop.com\/sandvine-belarus-contract-censorship-human-rights\/\"><em>\u0441\u0442\u0430\u0442\u044c\u0435 Cyberscoop<\/em><\/a>, \u043a\u043e\u043d\u0442\u0440\u0430\u043a\u0442 \u0431\u044b\u043b \u0440\u0430\u0441\u0442\u043e\u0440\u0433\u043d\u0443\u0442 \u0432 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u0435 2020 \u0433\u043e\u0434\u0430.<\/p>\n<p>\u0421\u043e\u0433\u043b\u0430\u0441\u043d\u043e <a href=\"https:\/\/www.amnesty.org\/en\/wp-content\/uploads\/2021\/05\/EUR4990452018ENGLISH.pdf\"><em>\u043e\u0442\u0447\u0435\u0442\u0443 Amnesty International<\/em><\/a>, \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 \u0432 2021 \u0433\u043e\u0434\u0443, \u00ab\u0421\u043e\u0433\u043b\u0430\u0441\u043d\u043e \u0431\u0435\u043b\u043e\u0440\u0443\u0441\u0441\u043a\u043e\u043c\u0443 \u0437\u0430\u043a\u043e\u043d\u043e\u0434\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0443, \u0432\u0441\u0435 \u0442\u0435\u043b\u0435\u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u044b \u0432 \u0441\u0442\u0440\u0430\u043d\u0435 \u0434\u043e\u043b\u0436\u043d\u044b \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0442\u044c \u0441\u043e\u0432\u043c\u0435\u0441\u0442\u0438\u043c\u043e\u0441\u0442\u044c \u0441\u0432\u043e\u0435\u0433\u043e \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0441 \u0441\u0438\u0441\u0442\u0435\u043c\u043e\u0439 \u0421\u041e\u0420\u041c\u00bb. \u041e\u043d\u0438 \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u044f\u0432\u043b\u044f\u044e\u0442, \u0447\u0442\u043e \u00ab\u0421\u0438\u0441\u0442\u0435\u043c\u0430 \u0421\u041e\u0420\u041c \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0432\u043b\u0430\u0441\u0442\u044f\u043c \u043f\u0440\u044f\u043c\u043e\u0439 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043a\u043e \u0432\u0441\u0435\u043c \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u044f\u043c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0438 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u043c \u0441 \u043d\u0438\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c \u0431\u0435\u0437 \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430\u00bb. \u041c\u044b \u0441 \u043d\u0438\u0437\u043a\u043e\u0439 \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e MoustachedBouncer \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u044d\u0442\u0443 \u0441\u0438\u0441\u0442\u0435\u043c\u0443 \u0421\u041e\u0420\u041c \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0441\u0432\u043e\u0438\u0445 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0439.<\/p>\n<p>\u0425\u043e\u0442\u044f \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0442\u043e\u0440\u043e\u0432 \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f AitM \u0432 \u0441\u0435\u0442\u044f\u0445 \u043f\u043e\u0441\u043e\u043b\u044c\u0441\u0442\u0432 \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0430, \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0435\u0439 \u0437\u0430\u043a\u043e\u043d\u043d\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438 \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u0442, \u0447\u0442\u043e \u043c\u0430\u043d\u0438\u043f\u0443\u043b\u044f\u0446\u0438\u0438 \u0441 \u0442\u0440\u0430\u0444\u0438\u043a\u043e\u043c \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u044f\u0442 \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430, \u0430 \u043d\u0435 \u043d\u0430 \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0430\u0442\u043e\u0440\u0430\u0445 \u0446\u0435\u043b\u0435\u0439.<\/p>\n<h2>\u0418\u043c\u043f\u043b\u0430\u043d\u0442\u044b: NightClub \u0438 Disco<\/h2>\n<p>\u0421 2014 \u0433\u043e\u0434\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 MoustachedBouncer \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c \u044d\u0432\u043e\u043b\u044e\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043b\u0438, \u0438 \u0432 2020 \u0433\u043e\u0434\u0443 \u043f\u0440\u043e\u0438\u0437\u043e\u0448\u043b\u0438 \u0431\u043e\u043b\u044c\u0448\u0438\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f, \u043a\u043e\u0433\u0434\u0430 \u0433\u0440\u0443\u043f\u043f\u0430 \u043d\u0430\u0447\u0430\u043b\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0430\u0442\u0430\u043a\u0438 AitM. \u0412 \u0442\u043e \u0436\u0435 \u0432\u0440\u0435\u043c\u044f \u043e\u043d\u0430 \u043d\u0430\u0447\u0430\u043b\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0433\u043e\u0440\u0430\u0437\u0434\u043e \u0431\u043e\u043b\u0435\u0435 \u043f\u0440\u043e\u0441\u0442\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 .NET \u0438 Go. \u0412 \u043e\u0442\u043d\u043e\u0448\u0435\u043d\u0438\u0438 NightClub \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 \u044d\u0442\u043e\u0442 \u043d\u043e\u0432\u044b\u0439 \u043d\u0430\u0431\u043e\u0440 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 Disco.<\/p>\n<p>MoustachedBouncer \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u0443\u0435\u0442 \u0434\u0432\u0430 \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 \u0438\u043c\u043f\u043b\u0430\u043d\u0442\u043e\u0432 \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u044c\u043d\u043e, \u043d\u043e \u043d\u0430 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u0435 \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043e\u0434\u0438\u043d. \u041c\u044b \u0441\u0447\u0438\u0442\u0430\u0435\u043c, \u0447\u0442\u043e Disco \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0432 \u0441\u043e\u0447\u0435\u0442\u0430\u043d\u0438\u0438 \u0441 \u0430\u0442\u0430\u043a\u0430\u043c\u0438 AitM, \u0432 \u0442\u043e \u0432\u0440\u0435\u043c\u044f \u043a\u0430\u043a NightClub \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0436\u0435\u0440\u0442\u0432, \u0433\u0434\u0435 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u0435\u043d \u0438\u0437-\u0437\u0430 \u0442\u0430\u043a\u043e\u0439 \u043c\u0435\u0440\u044b, \u043a\u0430\u043a \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0441\u043a\u0432\u043e\u0437\u043d\u043e\u0433\u043e \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e VPN, \u0433\u0434\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u0442\u0440\u0430\u0444\u0438\u043a \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0437\u0430 \u043f\u0440\u0435\u0434\u0435\u043b\u044b \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438.<\/p>\n<h3>Disco<\/h3>\n<p>\u041a\u0430\u043a \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043b\u043e\u0441\u044c \u0432 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u043c \u0440\u0430\u0437\u0434\u0435\u043b\u0435, \u043f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Windows \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043f\u0435\u0440\u0432\u0443\u044e \u0441\u0442\u0430\u0434\u0438\u044e (SHA-1: <span>E65EB4467DDB1C99B09AE87BA0A964C36BAB4C30<\/span>). \u042d\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0434\u0440\u043e\u043f\u043f\u0435\u0440, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 Go, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u0434\u043b\u044f \u0435\u0436\u0435\u043c\u0438\u043d\u0443\u0442\u043d\u043e\u0433\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f <span>\\35.214.56[.]2OfficeBrokerOfficeBroker.exe<\/span>. <span>OfficeBroker.exe<\/span> \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442\u0441\u044f \u043f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 SMB \u0447\u0435\u0440\u0435\u0437 \u0430\u0442\u0430\u043a\u0443 AitM. \u041e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430 \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u0430 \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 6.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 6. \u041e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430 \u043d\u0430 Go\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-6.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 6. \u041e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430 \u043d\u0430 Go\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">6<\/span><\/em><span lang=\"EN-US\"><em>. \u041e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430 \u043d\u0430 Go<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u041d\u0430\u043a\u043e\u043d\u0435\u0446, \u0434\u0440\u043e\u043f\u043f\u0435\u0440 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 DNS-\u0437\u0430\u043f\u0440\u043e\u0441 \u0434\u043b\u044f <span>windows.system.update[.]com<\/span>. \u042d\u0442\u043e\u0442 \u0434\u043e\u043c\u0435\u043d \u043d\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442, \u043d\u043e DNS-\u0437\u0430\u043f\u0440\u043e\u0441, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 AitM \u0438, \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043c\u0430\u044f\u043a\u043e\u043c \u0434\u043b\u044f \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u044f \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u043e\u0432 \u043e\u0431 \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0439 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 \u043c\u0430\u0448\u0438\u043d\u044b.<\/p>\n<p>\u041d\u0430\u043c \u043d\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0444\u0430\u0439\u043b <span>OfficeBroker.exe<\/span>, \u043d\u043e \u0432\u0435\u0441\u044c\u043c\u0430 \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u043e\u043d \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u0435\u0442 \u043a\u0430\u043a \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043f\u043b\u0430\u0433\u0438\u043d\u043e\u0432 \u0438\u0437 \u043e\u0431\u0449\u0438\u0445 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432 SMB. \u041f\u043b\u0430\u0433\u0438\u043d\u044b \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u044b \u043d\u0430 Go \u0438 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u044b, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0432 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u043c \u043f\u043e\u043b\u0430\u0433\u0430\u044e\u0442\u0441\u044f \u043d\u0430 \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 Go. \u0422\u0430\u0431\u043b\u0438\u0446\u0430 2 \u043e\u0431\u043e\u0431\u0449\u0430\u0435\u0442 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u043f\u043b\u0430\u0433\u0438\u043d\u044b.<\/p>\n<\/p>\n<p><em><a><\/a><span lang=\"EN-US\">\u0422\u0430\u0431\u043b\u0438\u0446\u0430 <\/span><span><span lang=\"EN-US\">2<\/span><\/span><\/em><span lang=\"EN-US\"><em>. \u041f\u043b\u0430\u0433\u0438\u043d\u044b \u043d\u0430 Go, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 MoustachedBouncer \u0432 2021\u20132022 \u0433\u0433.<\/em><\/span><\/p>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"97%\">\n<tbody>\n<tr>\n<td width=\"62%\">\n<p><strong><span lang=\"EN-US\">URL \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \/ \u041f\u0443\u0442\u044c \u043d\u0430 \u0434\u0438\u0441\u043a\u0435<\/span><\/strong><\/p>\n<\/td>\n<td width=\"37%\">\n<p><strong><span lang=\"EN-US\">\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"62%\">\n<p><span><strong><span lang=\"EN-US\">\\209.19.37[.]184driverpackaact.exe<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"37%\">\n<p><span lang=\"EN-US\">\u0414\u0435\u043b\u0430\u0435\u0442 \u0441\u043d\u0438\u043c\u043a\u0438 \u044d\u043a\u0440\u0430\u043d\u0430 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 <a href=\"https:\/\/github.com\/kbinani\/screenshot\"><em>kbinani\/screenshot<\/em><\/a>. \u0421\u043d\u0438\u043c\u043a\u0438 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u044e\u0442\u0441\u044f \u0432 <\/span><span><span lang=\"EN-US\">.AActdata&lt;d&gt;_&lt;s&gt;.dat<\/span><\/span><span lang=\"EN-US\"> (\u043d\u0430 SMB-\u0448\u0430\u0440\u0435), \u0433\u0434\u0435 <\/span><span><span lang=\"EN-US\">&lt;d&gt;<\/span><\/span><span lang=\"EN-US\"> \u2014 \u043d\u043e\u043c\u0435\u0440 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u0434\u0438\u0441\u043f\u043b\u0435\u044f, \u0430 <\/span><span><span lang=\"EN-US\">&lt;s&gt;<\/span><\/span><span lang=\"EN-US\"> \u2014 \u0434\u0430\u0442\u0430. \u041e\u043d \u0441\u043f\u0438\u0442 15 \u0441\u0435\u043a\u0443\u043d\u0434 \u043c\u0435\u0436\u0434\u0443 \u043a\u0430\u0436\u0434\u044b\u043c \u0441\u043d\u0438\u043c\u043a\u043e\u043c \u044d\u043a\u0440\u0430\u043d\u0430.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"62%\">\n<p><span><strong><span lang=\"EN-US\">C:UsersPublicdriverpackdriverpackUpdate.exe<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"37%\">\n<p><span lang=\"EN-US\">\u0412\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0441\u043a\u0440\u0438\u043f\u0442\u044b PowerShell \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e <\/span><span><span lang=\"EN-US\">powershell.exe -NoProfile -NonInteractive &lt;command&gt;<\/span><\/span><span lang=\"EN-US\">, \u0433\u0434\u0435 <\/span><span><span lang=\"EN-US\">&lt;command&gt;<\/span><\/span><span lang=\"EN-US\"> \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0438\u0437 \u0444\u0430\u0439\u043b\u0430 <\/span><span><span lang=\"EN-US\">.idata<\/span><\/span><span lang=\"EN-US\">. \u0412\u044b\u0432\u043e\u0434 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 <\/span><span><span lang=\"EN-US\">.odata<\/span><\/span><span lang=\"EN-US\">.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"62%\">\n<p><span><strong><span lang=\"EN-US\">C:UsersPublicdriverpacksdrive.exe<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"37%\">\n<p><span lang=\"EN-US\">\u0412\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 <\/span><span><span lang=\"EN-US\">C:UsersPublic\u200cdriverpackdriverpackUpdate.exe<\/span><\/span><span lang=\"EN-US\"> (\u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0439 \u043f\u043b\u0430\u0433\u0438\u043d) \u0441 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u043d\u044b\u043c\u0438 \u043f\u0440\u0430\u0432\u0430\u043c\u0438 \u0447\u0435\u0440\u0435\u0437 <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2021-1732\"><em><span>CVE-2021-1732<\/span><\/em><\/a>. \u041a\u043e\u0434, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0431\u044b\u043b \u0432\u0434\u043e\u0445\u043d\u043e\u0432\u043b\u0435\u043d PoC \u043d\u0430 <a href=\"https:\/\/github.com\/KaLendsi\/CVE-2021-1732-Exploit\/blob\/main\/ExploitTest\/ExploitTest.cpp\"><em>GitHub<\/em><\/a> \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 \u043a\u043e\u0434\u0430 <a href=\"https:\/\/github.com\/zyantific\/zydis\"><em>zydis<\/em><\/a>.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"62%\">\n<p><span><strong><span lang=\"EN-US\">\\209.19.37[.]184driverpackofficetelemetry.exe<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"37%\">\n<p><span lang=\"EN-US\">\u041e\u0431\u0440\u0430\u0442\u043d\u044b\u0439 \u043f\u0440\u043e\u043a\u0441\u0438, \u0441\u0438\u043b\u044c\u043d\u043e \u0432\u0434\u043e\u0445\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0439 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0435\u043c GitHub <a href=\"https:\/\/github.com\/kost\/revsocks\"><em>revsocks<\/em><\/a>. \u041d\u0430\u043c \u043d\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 \u0441 IP-\u0430\u0434\u0440\u0435\u0441\u043e\u043c \u043f\u0440\u043e\u043a\u0441\u0438.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"62%\">\n<p><span><strong><span lang=\"EN-US\">\\38.9.8[.]78driverpackDPU.exe<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"37%\">\n<p><span lang=\"EN-US\">\u0415\u0449\u0435 \u043e\u0434\u0438\u043d \u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u043b\u0430\u0433\u0438\u043d\u0430 PowerShell.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"62%\">\n<p><span><strong><span lang=\"EN-US\">%userprofile%appdatanod32updatenod32update.exe<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"37%\">\n<p><span lang=\"EN-US\">\u0415\u0449\u0435 \u043e\u0434\u0438\u043d \u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u043b\u0430\u0433\u0438\u043d\u0430 \u043e\u0431\u0440\u0430\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043a\u0441\u0438.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"62%\">\n<p><span><strong><span lang=\"EN-US\">\\59.6.8[.]25outlooksyncoutlooksync.exe<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"37%\">\n<p><span lang=\"EN-US\">\u0414\u0435\u043b\u0430\u0435\u0442 \u0441\u043d\u0438\u043c\u043a\u0438 \u044d\u043a\u0440\u0430\u043d\u0430; \u043f\u043e\u0445\u043e\u0436 \u043d\u0430 \u043f\u0435\u0440\u0432\u044b\u0439 \u043f\u043b\u0430\u0433\u0438\u043d. \u0418\u0437\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u044e\u0442\u0441\u044f \u0432 <\/span><span><span lang=\"EN-US\">.\/logs\/${DATETIME}.dat<\/span><\/span><span lang=\"EN-US\">.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"62%\">\n<p><span><strong><span lang=\"EN-US\">\\52.3.8[.]25oracleoracleTelemetry.exe<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"37%\">\n<p><span lang=\"EN-US\">\u041f\u043b\u0430\u0433\u0438\u043d \u0434\u043b\u044f \u0441\u043d\u0438\u043c\u043a\u043e\u0432 \u044d\u043a\u0440\u0430\u043d\u0430, \u0443\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e <a href=\"https:\/\/www.oreans.com\/Themida.php\"><em>Themida<\/em><\/a>.<\/span><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u0418\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e, \u0447\u0442\u043e \u043f\u043b\u0430\u0433\u0438\u043d\u044b \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 SMB-\u0448\u0430\u0440\u044b \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0434\u0430\u043d\u043d\u044b\u0445. \u041d\u0435\u0442 \u043d\u0438\u043a\u0430\u043a\u043e\u0433\u043e C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0432\u043d\u0435 \u043f\u043e\u043c\u0435\u0449\u0435\u043d\u0438\u0439 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0431\u044b \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0438\u043b\u0438 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0431\u044b \u0432\u044b\u0432\u0435\u0441\u0442\u0438 \u0438\u0437 \u0441\u0442\u0440\u043e\u044f. \u0422\u0430\u043a\u0436\u0435, \u043f\u043e\u0445\u043e\u0436\u0435, \u043d\u0435\u0442 \u0441\u043f\u043e\u0441\u043e\u0431\u0430 \u0441\u0432\u044f\u0437\u0430\u0442\u044c\u0441\u044f \u0441 \u044d\u0442\u0438\u043c C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c \u0438\u0437 \u0418\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430. \u042d\u0442\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 \u0432\u044b\u0441\u043e\u043a\u0443\u044e \u0443\u0441\u0442\u043e\u0439\u0447\u0438\u0432\u043e\u0441\u0442\u044c \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0441\u0435\u0442\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432.<\/p>\n<h3>SharpDisco \u0438 \u043f\u043b\u0430\u0433\u0438\u043d\u044b NightClub<\/h3>\n<p>\u0412 \u044f\u043d\u0432\u0430\u0440\u0435 2020 \u0433\u043e\u0434\u0430 \u043c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 \u0434\u0440\u043e\u043f\u043f\u0435\u0440 MoustachedBouncer, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 SharpDisco, \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u043c\u044b\u0439 \u0441 <span>https:\/\/mail.mfa.gov.&lt;redacted&gt;\/EdgeUpdate.exe<\/span> \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u043c Microsoft Edge. \u041d\u0435\u044f\u0441\u043d\u043e, \u043a\u0430\u043a \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u043c \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043f\u043e\u0434\u043c\u0435\u043d\u0438\u0442\u044c HTTPS-\u0442\u0440\u0430\u0444\u0438\u043a, \u043d\u043e \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u0447\u0442\u043e \u0436\u0435\u0440\u0442\u0432\u0435 \u0431\u044b\u043b\u043e \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0435 \u043e \u043d\u0435\u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u043e\u043c TLS-\u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0435. \u0414\u0440\u0443\u0433\u0430\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e MoustachedBouncer \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043b\u0430 \u044d\u0442\u043e\u0442 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u0432\u0435\u0431-\u0441\u0430\u0439\u0442.<\/p>\n<h4>SharpDisco (SHA-1: A3AE82B19FEE2756D6354E85A094F1A4598314AB)<\/h4>\n<p>SharpDisco \u2014 \u044d\u0442\u043e \u0434\u0440\u043e\u043f\u043f\u0435\u0440, \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 C#. \u041e\u043d \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u0442 \u0444\u0435\u0439\u043a\u043e\u0432\u043e\u0435 \u043e\u043a\u043d\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f, \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0435 \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 7, \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u044f \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u0434\u0432\u0435 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438 \u0432 \u0444\u043e\u043d\u043e\u0432\u043e\u043c \u0440\u0435\u0436\u0438\u043c\u0435.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 7. \u0424\u0435\u0439\u043a\u043e\u0432\u043e\u0435 \u043e\u043a\u043d\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Microsoft Edge\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/edge-update.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 7. \u0424\u0435\u0439\u043a\u043e\u0432\u043e\u0435 \u043e\u043a\u043d\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Microsoft Edge\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">7<\/span><\/em><span lang=\"EN-US\"><em>. \u0424\u0435\u0439\u043a\u043e\u0432\u043e\u0435 \u043e\u043a\u043d\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Microsoft Edge<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u042d\u0442\u0438 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438:<\/p>\n<p><img decoding=\"async\" alt=\"scheduled tasks\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/scheduled-tasks.png\" title=\"\" width=\"\"><\/p>\n<p><span>WINCMDA.EXE<\/span> \u0438 <span>WINCMDB.EXE<\/span>, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u043f\u0440\u043e\u0441\u0442\u043e \u043f\u0435\u0440\u0435\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0435 <span>cmd.exe<\/span>. \u041a\u0430\u0436\u0434\u0443\u044e \u043c\u0438\u043d\u0443\u0442\u0443 \u0437\u0430\u0434\u0430\u0447\u0430 \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 <span>\\24.9.51[.]94EDGEUPDATEEDGEAIN<\/span> (\u043d\u0430 SMB-\u0448\u0430\u0440\u0435), \u043f\u0435\u0440\u0435\u0434\u0430\u0435\u0442 \u0435\u0433\u043e \u0432 <span>cmd.exe<\/span> \u0438 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0432\u044b\u0432\u043e\u0434 \u0432 <span>\\24.9.51[.]94EDGEUPDATEEDGEAOUT<\/span>. \u0422\u043e \u0436\u0435 \u0441\u0430\u043c\u043e\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0441\u043e \u0432\u0442\u043e\u0440\u043e\u0439 \u0437\u0430\u0434\u0430\u0447\u0435\u0439, \u043d\u043e \u0441 \u0444\u0430\u0439\u043b\u0430\u043c\u0438 <span>EDGEBIN<\/span> \u0438 <span>EDGEBOUT<\/span>. \u0412 \u0446\u0435\u043b\u043e\u043c, \u044d\u0442\u0438 \u0437\u0430\u0434\u0430\u0447\u0438 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 \u0441\u043e\u0431\u043e\u0439 \u043e\u0431\u0440\u0430\u0442\u043d\u044b\u0435 \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438 \u0441 \u0437\u0430\u0434\u0435\u0440\u0436\u043a\u043e\u0439 \u0432 \u043e\u0434\u043d\u0443 \u0441\u0435\u043a\u0443\u043d\u0434\u0443.<\/p>\n<p>\u0417\u0430\u0442\u0435\u043c, \u043a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 8, \u0434\u0440\u043e\u043f\u043f\u0435\u0440 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 DNS-\u0437\u0430\u043f\u0440\u043e\u0441 \u0434\u043b\u044f \u043d\u0435\u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0434\u043e\u043c\u0435\u043d\u0430 <span>edgeupdate-security-windows[.]com<\/span>. \u042d\u0442\u043e \u043f\u043e\u0445\u043e\u0436\u0435 \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442 \u0434\u0440\u043e\u043f\u043f\u0435\u0440 Disco 2022 \u0433\u043e\u0434\u0430.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 8. \u0414\u0440\u043e\u043f\u043f\u0435\u0440, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0432 2020 \u0433\u043e\u0434\u0443\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/dropper-2020.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 8. \u0414\u0440\u043e\u043f\u043f\u0435\u0440, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0432 2020 \u0433\u043e\u0434\u0443\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">8<\/span><\/em><span lang=\"EN-US\"><em>. \u0414\u0440\u043e\u043f\u043f\u0435\u0440, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0432 2020 \u0433\u043e\u0434\u0443<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u0422\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u044f ESET \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e \u043e\u0431\u0440\u0430\u0442\u043d\u0430\u044f \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430\u0441\u044c \u0434\u043b\u044f \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u043d\u0430\u0441\u0442\u043e\u044f\u0449\u0435\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440\u0430 Python \u0432 <span>C:UsersPublicWinTNWinTN.exe<\/span>. \u0417\u0430\u0442\u0435\u043c \u043c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438, \u043a\u0430\u043a cmd.exe \u0440\u0430\u0437\u043c\u0435\u0441\u0442\u0438\u043b \u0434\u0432\u0430 \u043f\u043b\u0430\u0433\u0438\u043d\u0430 \u043d\u0430 \u0434\u0438\u0441\u043a\u0435, \u0447\u0442\u043e \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442, \u0447\u0442\u043e \u043e\u043d\u0438, \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u0442\u0430\u043a\u0436\u0435 \u0431\u044b\u043b\u0438 \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u044b \u043e\u0431\u0440\u0430\u0442\u043d\u043e\u0439 \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u043e\u0439. \u0414\u0432\u0430 \u043f\u043b\u0430\u0433\u0438\u043d\u0430:<\/p>\n<ul>\n<li>\u0421\u0431\u043e\u0440\u0449\u0438\u043a \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 <span>C:UsersPublicWinSrcNTIt11.exe<\/span><\/li>\n<li>\u041c\u043e\u043d\u0438\u0442\u043e\u0440 \u0432\u043d\u0435\u0448\u043d\u0438\u0445 \u0434\u0438\u0441\u043a\u043e\u0432 \u0432 <span>C:UsersPublicIt3.exe<\/span><\/li>\n<\/ul>\n<p>\u0418\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e, \u0447\u0442\u043e \u044d\u0442\u0438 \u043f\u043b\u0430\u0433\u0438\u043d\u044b \u0438\u043c\u0435\u044e\u0442 \u043e\u0431\u0449\u0438\u0439 \u043a\u043e\u0434 \u0441 NightClub (\u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u043c \u043d\u0438\u0436\u0435 \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 NightClub \u2013 2017 (SHA-1: <span>F92FE4DD679903F75ADE64DC8A20D46DFBD3B277<\/span>)). \u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u043b\u043e \u043d\u0430\u043c \u0441\u0432\u044f\u0437\u0430\u0442\u044c \u043d\u0430\u0431\u043e\u0440\u044b \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 Disco \u0438 NightClub.<\/p>\n<h4>\u0421\u0431\u043e\u0440\u0449\u0438\u043a \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 (SHA-1: 0DAEA89F91A55F46D33C294CFE84EF06CE22E393)<\/h4>\n<p>\u042d\u0442\u043e\u0442 \u043f\u043b\u0430\u0433\u0438\u043d \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b Windows \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>It11.exe<\/span>. \u041c\u044b \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u043e\u043d \u0431\u044b\u043b \u0437\u0430\u043f\u0443\u0449\u0435\u043d \u0447\u0435\u0440\u0435\u0437 \u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u0443\u044e \u0432\u044b\u0448\u0435 \u043e\u0431\u0440\u0430\u0442\u043d\u0443\u044e \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0443 (reverse shell). \u0412 \u043f\u043b\u0430\u0433\u0438\u043d\u0435 \u043d\u0435\u0442 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0430 \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u0430 (persistence mechanism).<\/p>\n<p>\u041e\u043d \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0435, \u0447\u0438\u0442\u0430\u044f \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043f\u0430\u043f\u043a\u0438 <span>%USERPROFILE%Recent<\/span> (\u0432 Windows XP) \u0438\u043b\u0438 <span>%APPDATA%MicrosoftWindowsRecent<\/span> (\u0432 \u0431\u043e\u043b\u0435\u0435 \u043d\u043e\u0432\u044b\u0445 \u0432\u0435\u0440\u0441\u0438\u044f\u0445 Windows). \u042d\u0442\u0438 \u043f\u0430\u043f\u043a\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442 LNK-\u0444\u0430\u0439\u043b\u044b, \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0439 \u0444\u0430\u0439\u043b.<\/p>\n<p>\u041f\u043b\u0430\u0433\u0438\u043d \u0432\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u043f\u0430\u0440\u0441\u0435\u0440 LNK-\u0444\u043e\u0440\u043c\u0430\u0442\u0430 \u0434\u043b\u044f \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u043f\u0443\u0442\u0438 \u043a \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u043c\u0443 \u0444\u0430\u0439\u043b\u0443.<\/p>\n<p>\u041d\u0430\u043c \u043d\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u0437\u0430\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u044d\u0442\u043e\u0442 \u043f\u043b\u0430\u0433\u0438\u043d \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c, \u043d\u043e \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e \u0444\u0430\u0439\u043b\u044b \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0443\u044e\u0442\u0441\u044f \u0432 SMB-\u0440\u0435\u0441\u0443\u0440\u0441 <span>\\24.9.51[.]94EDGEUPDATEupdate<\/span>. \u041f\u043b\u0430\u0433\u0438\u043d \u0445\u0440\u0430\u043d\u0438\u0442 \u0441\u043f\u0438\u0441\u043e\u043a \u0443\u0436\u0435 \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438 \u0438\u0445 CRC-32 \u0445\u0435\u0448 \u0432 <span>%TEMP%index.dat<\/span>. \u042d\u0442\u043e, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0438\u0437\u0431\u0435\u0436\u0430\u0442\u044c \u043f\u043e\u0432\u0442\u043e\u0440\u043d\u043e\u0439 \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u043e\u0434\u043d\u043e\u0433\u043e \u0438 \u0442\u043e\u0433\u043e \u0436\u0435 \u0444\u0430\u0439\u043b\u0430.<\/p>\n<h4>\u041c\u043e\u043d\u0438\u0442\u043e\u0440 \u0432\u043d\u0435\u0448\u043d\u0438\u0445 \u0434\u0438\u0441\u043a\u043e\u0432 (SHA-1: 11CF38D971534D9B619581CEDC19319962F3B996)<\/h4>\n<p>\u042d\u0442\u043e\u0442 \u043f\u043b\u0430\u0433\u0438\u043d \u2014 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b Windows \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>It3.exe<\/span>. \u041a\u0430\u043a \u0438 \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0441\u043e \u0441\u0431\u043e\u0440\u0449\u0438\u043a\u043e\u043c \u043d\u0435\u0434\u0430\u0432\u043d\u0438\u0445 \u0444\u0430\u0439\u043b\u043e\u0432, \u043e\u043d \u043d\u0435 \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u043d\u0438\u043a\u0430\u043a\u043e\u0433\u043e \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0430 \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u0430.<\/p>\n<p>\u041f\u043b\u0430\u0433\u0438\u043d \u0432 \u0446\u0438\u043a\u043b\u0435 \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442 <span>GetLogicalDrives<\/span> \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0441\u043f\u0438\u0441\u043a\u0430 \u0432\u0441\u0435\u0445 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u043d\u044b\u0445 \u0434\u0438\u0441\u043a\u043e\u0432, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u0441\u044a\u0435\u043c\u043d\u044b\u0435, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a USB-\u043d\u0430\u043a\u043e\u043f\u0438\u0442\u0435\u043b\u0438. \u0417\u0430\u0442\u0435\u043c \u043e\u043d \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u043f\u0440\u044f\u043c\u043e\u0435 \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 NTFS-\u0442\u043e\u043c\u0430 \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u0441\u044a\u0435\u043c\u043d\u043e\u0433\u043e \u0434\u0438\u0441\u043a\u0430 \u0438 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0435\u0433\u043e \u0432 \u0442\u0435\u043a\u0443\u0449\u0438\u0439 \u0440\u0430\u0431\u043e\u0447\u0438\u0439 \u043a\u0430\u0442\u0430\u043b\u043e\u0433, \u0432 \u043d\u0430\u0448\u0435\u043c \u043f\u0440\u0438\u043c\u0435\u0440\u0435 <span>C:UsersPublic<\/span>. \u0418\u043c\u044f \u0444\u0430\u0439\u043b\u0430 \u2014 \u044d\u0442\u043e \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u043e \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0441\u0442\u0440\u043e\u043a\u0430 \u0438\u0437 \u0448\u0435\u0441\u0442\u0438-\u0432\u043e\u0441\u044c\u043c\u0438 \u0431\u0443\u043a\u0432\u0435\u043d\u043d\u043e-\u0446\u0438\u0444\u0440\u043e\u0432\u044b\u0445 \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 <span>heNNYwmY<\/span>.<\/p>\n<p>\u041e\u043d \u0432\u0435\u0434\u0435\u0442 \u043b\u043e\u0433-\u0444\u0430\u0439\u043b \u0432 <span>&lt;\u0440\u0430\u0431\u043e\u0447\u0438\u0439 \u043a\u0430\u0442\u0430\u043b\u043e\u0433&gt;index.dat<\/span> \u0441 CRC-32 \u0445\u0435\u0448\u0430\u043c\u0438 \u0441\u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0434\u0438\u0441\u043a\u043e\u0432.<\/p>\n<p>\u041f\u043e\u0445\u043e\u0436\u0435, \u0447\u0442\u043e \u0443 \u043f\u043b\u0430\u0433\u0438\u043d\u0430 \u043d\u0435\u0442 \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0435\u0439 \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438. \u0412\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u0434\u0430\u043c\u043f\u044b \u0434\u0438\u0441\u043a\u043e\u0432, \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u044b\u0435 \u0442\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043f\u043e\u0437\u0436\u0435 \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u044e\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u0431\u0440\u0430\u0442\u043d\u043e\u0439 \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438.<\/p>\n<h3>NightClub<\/h3>\n<p>\u0421 2014 \u0433\u043e\u0434\u0430 MoustachedBouncer \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 NightClub, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u043e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 C++ \u043a\u043b\u0430\u0441\u0441 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>nightclub<\/span>. \u041c\u044b \u043d\u0430\u0448\u043b\u0438 \u043e\u0431\u0440\u0430\u0437\u0446\u044b \u043e\u0442 2014, 2017, 2020 \u0438 2022 \u0433\u043e\u0434\u043e\u0432. \u0412 \u044d\u0442\u043e\u043c \u0440\u0430\u0437\u0434\u0435\u043b\u0435 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u044d\u0432\u043e\u043b\u044e\u0446\u0438\u044f NightClub \u043e\u0442 \u043f\u0440\u043e\u0441\u0442\u043e\u0433\u043e \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u0434\u043e \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u043c\u043e\u0434\u0443\u043b\u044c\u043d\u043e\u0433\u043e C++ \u0438\u043c\u043f\u043b\u0430\u043d\u0442\u0430.<\/p>\n<p>\u0412\u043a\u0440\u0430\u0442\u0446\u0435, NightClub \u2014 \u044d\u0442\u043e \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u043e \u0438\u043c\u043f\u043b\u0430\u043d\u0442\u043e\u0432, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u0445 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u0443\u044e \u043f\u043e\u0447\u0442\u0443 \u0434\u043b\u044f \u0441\u0432\u044f\u0437\u0438 \u0441 C&amp;C. \u0421 2016 \u0433\u043e\u0434\u0430 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u043c\u043e\u0434\u0443\u043b\u0438 \u043c\u043e\u0433\u043b\u0438 \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u043f\u043e \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u0435 \u0434\u043b\u044f \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u044f \u0435\u0433\u043e \u0448\u043f\u0438\u043e\u043d\u0441\u043a\u0438\u0445 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0435\u0439.<\/p>\n<h4>NightClub \u2013 2014<\/h4>\n<p>\u042d\u0442\u043e \u0441\u0430\u043c\u0430\u044f \u0441\u0442\u0430\u0440\u0430\u044f \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0430\u044f \u0432\u0435\u0440\u0441\u0438\u044f NightClub. \u041c\u044b \u043d\u0430\u0448\u043b\u0438 \u0434\u0440\u043e\u043f\u043f\u0435\u0440 \u0438 \u043e\u0440\u043a\u0435\u0441\u0442\u0440\u0430\u0442\u043e\u0440.<\/p>\n<p>\u0414\u0440\u043e\u043f\u043f\u0435\u0440 (SHA-1: <span>0401EE7F3BC384734BF7E352C4C4BC372840C30D<\/span>) \u2014 \u044d\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>EsetUpdate-0117583943.exe<\/span>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u044b\u043b \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u043d\u0430 VirusTotal \u0438\u0437 \u0423\u043a\u0440\u0430\u0438\u043d\u044b 19.11.2014. \u041c\u044b \u043d\u0435 \u0437\u043d\u0430\u0435\u043c, \u043a\u0430\u043a \u043e\u043d \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u043b\u0441\u044f \u0432 \u0442\u043e \u0432\u0440\u0435\u043c\u044f.<\/p>\n<p>\u041e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f, \u043f\u0440\u043e\u0438\u043b\u043b\u044e\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 9, \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0440\u0435\u0441\u0443\u0440\u0441 <span>MEMORY<\/span> \u0438 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0435\u0433\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0432 <span>%SystemRoot%System32creh.dll<\/span>. \u041e\u043d \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 \u043e\u0442\u043a\u0440\u044b\u0442\u043e\u043c \u0432\u0438\u0434\u0435 \u0432 PE-\u0440\u0435\u0441\u0443\u0440\u0441\u0435.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 9. \u041e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/2014-main-dropper.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 9. \u041e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">9<\/span><\/em><span lang=\"EN-US\"><em>. \u041e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u0417\u0430\u0442\u0435\u043c \u0434\u0440\u043e\u043f\u043f\u0435\u0440 \u0438\u0437\u043c\u0435\u043d\u044f\u0435\u0442 \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u043c\u0435\u0442\u043a\u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f, \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0438 \u0437\u0430\u043f\u0438\u0441\u0438 <span>creh.dll<\/span>, \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u044f \u0438\u0445 \u0442\u0430\u043a\u0438\u043c\u0438 \u0436\u0435, \u043a\u0430\u043a \u0443 \u043f\u043e\u0434\u043b\u0438\u043d\u043d\u043e\u0433\u043e DLL-\u0444\u0430\u0439\u043b\u0430 Windows <span>user32.dll.<\/span><\/p>\n<p>\u041d\u0430\u043a\u043e\u043d\u0435\u0446, \u043e\u043d \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0441\u043b\u0443\u0436\u0431\u0443 Windows \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>WmdmPmSp<\/span> \u0438 \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 \u0432 \u0440\u0435\u0435\u0441\u0442\u0440\u0435 \u0435\u0435 <span>ServiceDll<\/span> \u043d\u0430 <span>%SystemRoot%System32creh.dll \u2013<\/span> \u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 10.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 10. \u0418\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f ServiceDll\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/2014-servicedll.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 10. \u0418\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f ServiceDll\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">10<\/span><span lang=\"EN-US\">. \u0418\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f <\/span><span><span lang=\"EN-US\">ServiceDll<\/span><\/span><\/em><\/p>\n<\/figcaption><\/figure>\n<p>\u0420\u0430\u043d\u0435\u0435 \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u043d\u044b\u0439 DLL-\u0444\u0430\u0439\u043b, <span>creh.dll<\/span> (SHA-1: <span>5B55250CC0DA407201B5F042322CFDBF56041632<\/span>), \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0440\u043a\u0435\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u043c NightClub. \u041e\u043d \u0438\u043c\u0435\u0435\u0442 \u043e\u0434\u0438\u043d \u044d\u043a\u0441\u043f\u043e\u0440\u0442 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>ServiceMain<\/span>, \u0430 \u043f\u0443\u0442\u044c \u043a \u0435\u0433\u043e PDB \u2014 <span>D:ProgrammingProjectsWorkSwampThingReleaseWin32WorkingDll.pdb.<\/span><\/p>\n<p>\u041e\u043d \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u043d\u0430 C++, \u0438 \u0438\u043c\u0435\u043d\u0430 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0442 \u0432 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI \u2013 \u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 11.<\/p>\n<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 11. \u0418\u043c\u0435\u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438\u0437 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-11.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 11. \u0418\u043c\u0435\u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438\u0437 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">11<\/span><\/em><span lang=\"EN-US\"><em>. \u0418\u043c\u0435\u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438\u0437 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u041d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0441\u0442\u0440\u043e\u043a\u0438 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u044b \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e \u043b\u0438\u043d\u0435\u0439\u043d\u043e\u0433\u043e \u043a\u043e\u043d\u0433\u0440\u0443\u044d\u043d\u0442\u043d\u043e\u0433\u043e \u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440\u0430 (LCG): <span>staten+1 = (690069 \u00d7 staten + 1) mod 232<\/span>. \u0414\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 (state0) \u043e\u0442 0 \u0434\u043e 255. \u0414\u043b\u044f \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u043a\u0438 \u0441\u0442\u0440\u043e\u043a\u0438 <span>staten<\/span> \u0432\u044b\u0447\u0438\u0442\u0430\u0435\u0442\u0441\u044f \u0438\u0437 \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e <span>byten<\/span>. \u041f\u0440\u0438\u043c\u0435\u0440 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 \u043f\u043e\u043a\u0430\u0437\u0430\u043d \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 12.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 12. \u0424\u043e\u0440\u043c\u0430\u0442 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/2014-encrypted-string.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 12. \u0424\u043e\u0440\u043c\u0430\u0442 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">12<\/span><\/em><span lang=\"EN-US\"><em>. \u0424\u043e\u0440\u043c\u0430\u0442 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u041d\u0435\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043b\u043e\u0433-\u0444\u0430\u0439\u043b \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0432 <span>C:WindowsSystem32servdll.log<\/span>. \u041e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043e\u0447\u0435\u043d\u044c \u0431\u0430\u0437\u043e\u0432\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e\u0431 \u0438\u043d\u0438\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u043e\u0440\u043a\u0435\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u2013 \u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 13.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 13. \u041b\u043e\u0433-\u0444\u0430\u0439\u043b\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/2014-log-file.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 13. \u041b\u043e\u0433-\u0444\u0430\u0439\u043b\" width=\"\"><figcaption>\n<p><a><\/a><em><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">13<\/span><span lang=\"EN-US\">. \u041b\u043e\u0433-\u0444\u0430\u0439\u043b<\/span><\/em><\/p>\n<\/figcaption><\/figure>\n<p>NightClub \u0438\u043c\u0435\u0435\u0442 \u0434\u0432\u0435 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438:<\/p>\n<p>\u2022<span><br \/>\n<\/span>\u041c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0444\u0430\u0439\u043b\u043e\u0432<\/p>\n<p>\u2022<span><br \/>\n<\/span>\u042d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 \u0447\u0435\u0440\u0435\u0437 SMTP (\u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u0430\u044f \u043f\u043e\u0447\u0442\u0430)<\/p>\n<h5>\u041c\u043e\u043d\u0438\u0442\u043e\u0440 \u0444\u0430\u0439\u043b\u043e\u0432<\/h5>\n<p>\u0420\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0437\u0434\u0435\u0441\u044c \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u0445\u043e\u0436\u0430 \u043d\u0430 \u043f\u043b\u0430\u0433\u0438\u043d \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0430 \u043d\u0435\u0434\u0430\u0432\u043d\u0438\u0445 \u0444\u0430\u0439\u043b\u043e\u0432, \u0437\u0430\u043c\u0435\u0447\u0435\u043d\u043d\u044b\u0439 \u0432 2020 \u0433\u043e\u0434\u0443 \u0438 \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0439 \u0432\u044b\u0448\u0435. \u041e\u043d \u0442\u0430\u043a\u0436\u0435 \u043f\u0440\u043e\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0435\u0442 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0438 <span>%USERPROFILE%Recent<\/span> \u0432 Windows XP \u0438 \u0432 \u0431\u043e\u043b\u0435\u0435 \u043d\u043e\u0432\u044b\u0445 \u0432\u0435\u0440\u0441\u0438\u044f\u0445 Windows <span>%APPDATA%MicrosoftWindowsRecent<\/span>, \u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u0442\u043e\u0442 \u0436\u0435 \u043f\u0430\u0440\u0441\u0435\u0440 LNK \u2013 \u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043a\u0438 14 \u0438 15.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 14. \u041f\u0430\u0440\u0441\u0435\u0440 LNK (\u043e\u0431\u0440\u0430\u0437\u0435\u0446 2014 \u0433\u043e\u0434\u0430 \u2013 5B55250CC0DA407201B5F042322CFDBF56041632)\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/2014-lnk-parser.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 14. \u041f\u0430\u0440\u0441\u0435\u0440 LNK (\u043e\u0431\u0440\u0430\u0437\u0435\u0446 2014 \u0433\u043e\u0434\u0430 \u2013 5B55250CC0DA407201B5F042322CFDBF56041632)\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">14<\/span><span lang=\"EN-US\">. \u041f\u0430\u0440\u0441\u0435\u0440 LNK (\u043e\u0431\u0440\u0430\u0437\u0435\u0446 2014 \u0433\u043e\u0434\u0430 \u2013 <\/span><span><span lang=\"EN-US\">5B55250CC0DA407201B5F042322CFDBF56041632<\/span><\/span><\/em><span lang=\"EN-US\"><em>)<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 15. \u041f\u0430\u0440\u0441\u0435\u0440 LNK (\u043e\u0431\u0440\u0430\u0437\u0435\u0446 2020 \u0433\u043e\u0434\u0430 \u2013 0DAEA89F91A55F46D33C294CFE84EF06CE22E393)\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/2020-lnk-parser-1.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 15. \u041f\u0430\u0440\u0441\u0435\u0440 LNK (\u043e\u0431\u0440\u0430\u0437\u0435\u0446 2020 \u0433\u043e\u0434\u0430 \u2013 0DAEA89F91A55F46D33C294CFE84EF06CE22E393)\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"FR\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"FR\">15<\/span><span lang=\"FR\">. \u041f\u0430\u0440\u0441\u0435\u0440 LNK (\u043e\u0431\u0440\u0430\u0437\u0435\u0446 2020 \u0433\u043e\u0434\u0430 \u2013 <\/span><span><span lang=\"FR\">0DAEA89F91A55F46D33C294CFE84EF06CE22E393<\/span><\/span><\/em><span lang=\"FR\"><em>)<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<\/p>\n<p>\u0424\u0430\u0439\u043b\u044b, \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0435 \u0438\u0437 LNK-\u0444\u0430\u0439\u043b\u043e\u0432, \u043a\u043e\u043f\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0432 <span>%TEMP%&lt;\u0438\u0441\u0445\u043e\u0434\u043d\u043e\u0435 \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430&gt;.bin<\/span>. \u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0430 2020 \u0433\u043e\u0434\u0430, \u043a\u043e\u043f\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u0444\u0430\u0439\u043b\u044b \u0441 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u044f\u043c\u0438 <span>.doc<\/span>, <span>.docx<\/span>, <span>.xls<\/span>, <span>.xslx<\/span> \u0438\u043b\u0438 <span>.pdf<\/span>.<\/p>\n<p>\u041e\u043d \u0442\u0430\u043a\u0436\u0435 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u0442 \u0441\u044a\u0435\u043c\u043d\u044b\u0435 \u0434\u0438\u0441\u043a\u0438 \u0432 \u0446\u0438\u043a\u043b\u0435, \u0447\u0442\u043e\u0431\u044b \u043a\u0440\u0430\u0441\u0442\u044c \u0444\u0430\u0439\u043b\u044b \u0441 \u043d\u0438\u0445.<\/p>\n<h5>SMTP C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438<\/h5>\n<p>NightClub \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b SMTP \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0434\u0430\u043d\u043d\u044b\u0445. \u0425\u043e\u0442\u044f C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u044f \u043f\u043e \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u0435 \u043d\u0435 \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u0430 \u0434\u043b\u044f MoustachedBouncer \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u043c\u0438, \u0442\u0430\u043a\u0438\u043c\u0438 \u043a\u0430\u043a Turla (\u0441\u043c. <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/2019\/05\/ESET-LightNeuron.pdf\">LightNeuron<\/a> \u0438 <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/2018\/08\/Eset-Turla-Outlook-Backdoor.pdf\">Outlook<\/a> backdoor), \u043e\u043d\u0430 \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u0442\u0441\u044f \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0440\u0435\u0434\u043a\u043e. \u041a\u043e\u0434 \u043e\u0441\u043d\u043e\u0432\u0430\u043d \u043d\u0430 \u043f\u0440\u043e\u0435\u043a\u0442\u0435 CSmtp, \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u043c \u043d\u0430 <a href=\"https:\/\/github.com\/korisk\/csmtp\/blob\/master\/CSmtp.cpp\">GitHub<\/a>. \u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0431 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0437\u0430\u043f\u0438\u0441\u044f\u0445 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0430 \u0438 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u0430 LCG. \u0412 \u043f\u0440\u043e\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u043d\u0430\u043c\u0438 \u043e\u0431\u0440\u0430\u0437\u0446\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u043f\u043e\u0447\u0442\u044b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0430\u044f:<\/p>\n<p>\u2022<span><br \/>\n<\/span><strong>SMTP \u0441\u0435\u0440\u0432\u0435\u0440<\/strong>: <span>smtp.seznam.cz<\/span><\/p>\n<p>\u2022<span><br \/>\n<\/span><strong>\u0410\u0434\u0440\u0435\u0441 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044f<\/strong>: <span>glen.morriss75@seznam[.]cz<\/span><\/p>\n<p>\u2022<span><br \/>\n<\/span><strong>\u041f\u0430\u0440\u043e\u043b\u044c \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044f<\/strong>: &lt;\u0443\u0434\u0430\u043b\u0435\u043d\u043e&gt;<\/p>\n<p>\u2022<span><br \/>\n<\/span><strong>\u0410\u0434\u0440\u0435\u0441 \u043f\u043e\u043b\u0443\u0447\u0430\u0442\u0435\u043b\u044f<\/strong>: <span>SunyaF@seznam[.]cz<\/span><\/p>\n<p>seznam.cz \u2014 \u044d\u0442\u043e \u0447\u0435\u0448\u0441\u043a\u0438\u0439 \u0432\u0435\u0431-\u043f\u043e\u0440\u0442\u0430\u043b, \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u044e\u0449\u0438\u0439 \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0438\u0441 \u0432\u0435\u0431-\u043f\u043e\u0447\u0442\u044b. \u041c\u044b \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0441\u043e\u0437\u0434\u0430\u043b\u0438 \u0441\u0432\u043e\u0438 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b, \u0430 \u043d\u0435 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043b\u0438 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0435.<\/p>\n<p>NightClub \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0443\u0435\u0442 \u0444\u0430\u0439\u043b\u044b, \u0440\u0430\u043d\u0435\u0435 \u0441\u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0432 <span>%TEMP%<\/span> \u0444\u0443\u043d\u043a\u0446\u0438\u0435\u0439 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0444\u0430\u0439\u043b\u043e\u0432 (<span>FileMonitor<\/span> \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 11). \u041e\u043d\u0438 \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u0432 base64 \u0438 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043a\u0430\u043a \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u044f. \u0418\u043c\u044f \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u2014 \u044d\u0442\u043e \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u0435 \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430 \u0441 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435\u043c .bin.<\/p>\n<p>\u041d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 16 \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u0430 \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f \u0444\u0430\u0439\u043b\u0430 \u0447\u0435\u0440\u0435\u0437 SMTP. NightClub \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0434\u043b\u044f \u0430\u043a\u043a\u0430\u0443\u043d\u0442\u0430 <span>glen.morriss75@seznam[.]cz<\/span> \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0435 \u043f\u0438\u0441\u044c\u043c\u043e \u043d\u0430 <span>SunyaF@seznam[.]cz<\/span> \u0441 \u043f\u0440\u0438\u043a\u0440\u0435\u043f\u043b\u0435\u043d\u043d\u044b\u043c \u0443\u043a\u0440\u0430\u0434\u0435\u043d\u043d\u044b\u043c \u0444\u0430\u0439\u043b\u043e\u043c.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 16. TCP-\u043f\u043e\u0442\u043e\u043a SMTP-\u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438 \u0441 \u043d\u0430\u0448\u0435\u0439 \u0442\u0435\u0441\u0442\u043e\u0432\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u044b\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure16.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 16. TCP-\u043f\u043e\u0442\u043e\u043a SMTP-\u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438 \u0441 \u043d\u0430\u0448\u0435\u0439 \u0442\u0435\u0441\u0442\u043e\u0432\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u044b\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">16<\/span><\/em><span lang=\"EN-US\"><em>. TCP-\u043f\u043e\u0442\u043e\u043a SMTP-\u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438 \u0441 \u043d\u0430\u0448\u0435\u0439 \u0442\u0435\u0441\u0442\u043e\u0432\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u044b<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<\/p>\n<p>\u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0430 \u043f\u0435\u0440\u0432\u044b\u0439 \u0432\u0437\u0433\u043b\u044f\u0434 \u043c\u043e\u0433\u0443\u0442 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c\u0441\u044f \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u043c\u0438, \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f\u043c\u0438 \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0438\u0437 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 CSmtp, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043e\u043d\u0438, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u043d\u0435 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043e\u0442\u043b\u0438\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u043c\u0438. \u041a \u043d\u0438\u043c \u043e\u0442\u043d\u043e\u0441\u044f\u0442\u0441\u044f:<\/p>\n<p>\u2022<span><br \/>\n<\/span><span>X-Mailer: The Bat! (v3.02) Professional<\/span><\/p>\n<p>\u2022<span><br \/>\n<\/span><span>Content-Type: multipart\/mixed; boundary=&#187;__MESSAGE__ID__54yg6f6h6y456345&#8243;<\/span><\/p>\n<p>The Bat! \u2014 \u044d\u0442\u043e \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0439 \u043a\u043b\u0438\u0435\u043d\u0442, \u0448\u0438\u0440\u043e\u043a\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 \u0432 \u0412\u043e\u0441\u0442\u043e\u0447\u043d\u043e\u0439 \u0415\u0432\u0440\u043e\u043f\u0435. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a <span>X-Mailer<\/span>, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0441\u043c\u0435\u0448\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u043c \u0442\u0440\u0430\u0444\u0438\u043a\u043e\u043c \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438.<\/p>\n<h4>NightClub \u2013 2017 (SHA-1: F92FE4DD679903F75ADE64DC8A20D46DFBD3B277)<\/h4>\n<p>\u0412 2017 \u0433\u043e\u0434\u0443 \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0431\u043e\u043b\u0435\u0435 \u043d\u043e\u0432\u0443\u044e \u0432\u0435\u0440\u0441\u0438\u044e NightClub, \u0441\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e 05.06.2017. \u041d\u0430 \u043c\u0430\u0448\u0438\u043d\u0435 \u0436\u0435\u0440\u0442\u0432\u044b \u043e\u043d\u0430 \u0440\u0430\u0441\u043f\u043e\u043b\u0430\u0433\u0430\u043b\u0430\u0441\u044c \u043f\u043e \u043f\u0443\u0442\u0438 <span>C:WindowsSystem32metamn.dll<\/span>. \u0415\u0435 \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430 \u0432 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0430 DLL \u2014 <span>DownloaderService.dll<\/span>, \u0438 \u043e\u043d\u0430 \u0438\u043c\u0435\u0435\u0442 \u043e\u0434\u0438\u043d \u044d\u043a\u0441\u043f\u043e\u0440\u0442 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>ServiceMain<\/span>. \u041e\u043d\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043f\u0443\u0442\u044c \u043a PDB <span>D:AbcdMainProjectRootsrcProjectsMainSInkReleasex64EtfFavoriteFinder.pdb. <\/span><\/p>\n<p>\u0414\u043b\u044f \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u0430 \u043e\u043d\u0430 \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0441\u043b\u0443\u0436\u0431\u0443 Windows \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>WmdmPmSp<\/span>, \u043a\u0430\u043a \u0438 \u0432 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0445 \u0432\u0435\u0440\u0441\u0438\u044f\u0445. \u041a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e, \u043c\u044b \u043d\u0435 \u0441\u043c\u043e\u0433\u043b\u0438 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0434\u0440\u043e\u043f\u043f\u0435\u0440.<\/p>\n<p>\u042d\u0442\u0430 \u0432\u0435\u0440\u0441\u0438\u044f NightClub \u0442\u0430\u043a\u0436\u0435 \u0432\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0438\u043c\u0435\u043d C++ \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438 \u043c\u0435\u0442\u043e\u0434\u043e\u0432, \u0432\u043a\u043b\u044e\u0447\u0430\u044f <span>nightclub<\/span>, \u0432 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI \u2013 \u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 17.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 17. \u0418\u043c\u0435\u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438\u0437 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI \u0432\u0435\u0440\u0441\u0438\u0438 NightClub 2017 \u0433\u043e\u0434\u0430\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-17.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 17. \u0418\u043c\u0435\u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438\u0437 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI \u0432\u0435\u0440\u0441\u0438\u0438 NightClub 2017 \u0433\u043e\u0434\u0430\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">17<\/span><\/em><span lang=\"EN-US\"><em>. \u0418\u043c\u0435\u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438\u0437 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI \u0432\u0435\u0440\u0441\u0438\u0438 NightClub 2017 \u0433\u043e\u0434\u0430<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u041a\u0430\u043a \u0438 \u0432 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0445 \u0432\u0435\u0440\u0441\u0438\u044f\u0445, C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b SMTP \u0447\u0435\u0440\u0435\u0437 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 CSmtp \u0441 \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c\u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438. \u0412 \u043f\u0440\u043e\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u043d\u0430\u043c\u0438 \u043e\u0431\u0440\u0430\u0437\u0446\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u043f\u043e\u0447\u0442\u044b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0430\u044f:<\/p>\n<p>\u2022<span><br \/>\n<\/span><strong>SMTP \u0441\u0435\u0440\u0432\u0435\u0440<\/strong>: <span>smtp.mail.ru<\/span><\/p>\n<p>\u2022<span><br \/>\n<\/span><strong>\u0410\u0434\u0440\u0435\u0441 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044f<\/strong>: <span>fhtgbbwi@mail[.]ru<\/span><\/p>\n<p>\u2022<span><br \/>\n<\/span><strong>\u041f\u0430\u0440\u043e\u043b\u044c \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044f<\/strong>: [\u0443\u0434\u0430\u043b\u0435\u043d\u043e]<\/p>\n<p>\u2022<span><br \/>\n<\/span><strong>\u0410\u0434\u0440\u0435\u0441 \u043f\u043e\u043b\u0443\u0447\u0430\u0442\u0435\u043b\u044f<\/strong>: <span>nvjfnvjfnjf@mail[.]ru<\/span><\/p>\n<p>\u041e\u0441\u043d\u043e\u0432\u043d\u043e\u0435 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u043e\u043d\u0438 \u0441\u043c\u0435\u043d\u0438\u043b\u0438 \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u043e\u0433\u043e \u043f\u043e\u0447\u0442\u043e\u0432\u043e\u0433\u043e \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 \u0441 Seznam.cz \u043d\u0430 Mail.ru.<\/p>\n<p>\u042d\u0442\u0430 \u0432\u0435\u0440\u0441\u0438\u044f NightClub \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u043f\u043b\u0430\u0433\u0438\u043d\u044b, \u0445\u0440\u0430\u043d\u044f\u0449\u0438\u0435\u0441\u044f \u0432 \u043f\u0430\u043f\u043a\u0435 <span>%APPDATA%NvmFilter<\/span>. \u042d\u0442\u043e DLL-\u0444\u0430\u0439\u043b\u044b \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>&lt;\u0441\u043b\u0443\u0447\u0430\u0439\u043d\u0430\u044f \u0441\u0442\u0440\u043e\u043a\u0430&gt;.cr <\/span>(\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <span>et2z7q0FREZ.cr<\/span>) \u0441 \u043e\u0434\u043d\u0438\u043c \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u043e\u043c \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>Starts<\/span>. \u041c\u044b \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043b\u0438 \u0434\u0432\u0430 \u043f\u043b\u0430\u0433\u0438\u043d\u0430: \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440 \u0438 \u043c\u043e\u043d\u0438\u0442\u043e\u0440 \u0444\u0430\u0439\u043b\u043e\u0432.<\/p>\n<h5>\u041a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440 (SHA-1: 6999730D0715606D14ACD19329AF0685B8AD0299)<\/h5>\n<p>\u042d\u0442\u043e\u0442 \u043f\u043b\u0430\u0433\u0438\u043d \u0445\u0440\u0430\u043d\u0438\u043b\u0441\u044f \u0432 <span>%APPDATA%NvmFilteret2z7q0FREZ.cr<\/span> \u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f DLL \u0441 \u043e\u0434\u043d\u0438\u043c \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u043e\u043c, <span>Starts<\/span>. \u041e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043f\u0443\u0442\u044c \u043a PDB <span>D:ProgrammingProjectsAutogenKhAutogenAlgReleasex64SearchIdxDll.pdb<\/span> \u0438 \u0431\u044b\u043b \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0430\u043d \u043d\u0430 C++. \u0414\u0430\u043d\u043d\u044b\u0435 RTTI \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0438\u043c\u0435\u043d \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u2013 \u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 18.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 18. \u0418\u043c\u0435\u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438\u0437 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI \u043f\u043b\u0430\u0433\u0438\u043d\u0430 \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440\u0430 NightClub\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-18.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 18. \u0418\u043c\u0435\u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438\u0437 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI \u043f\u043b\u0430\u0433\u0438\u043d\u0430 \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440\u0430 NightClub\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">18<\/span><\/em><span lang=\"EN-US\"><em>. \u0418\u043c\u0435\u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0438\u0437 \u0434\u0430\u043d\u043d\u044b\u0445 RTTI \u043f\u043b\u0430\u0433\u0438\u043d\u0430 \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440\u0430 NightClub<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u0420\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440\u0430 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0442\u0440\u0430\u0434\u0438\u0446\u0438\u043e\u043d\u043d\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f Windows <span>GetKeyState<\/span> \u2013 \u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 19.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 19. \u041a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440 NightClub\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/keylogger.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 19. \u041a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440 NightClub\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">19<\/span><\/em><span lang=\"EN-US\"><em>. \u041a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440 NightClub<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u041a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440 \u0432\u0435\u0434\u0435\u0442 \u043b\u043e\u0433-\u0444\u0430\u0439\u043b \u0432 \u043e\u0442\u043a\u0440\u044b\u0442\u043e\u043c \u0432\u0438\u0434\u0435 \u0432 <span>%TEMP%uirtl.tmp<\/span>. \u041e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0434\u0430\u0442\u0443, \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438 \u0437\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0435 \u043d\u0430\u0436\u0430\u0442\u0438\u044f \u043a\u043b\u0430\u0432\u0438\u0448 \u0434\u043b\u044f \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f. \u041f\u0440\u0438\u043c\u0435\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043b\u0438, \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 20.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 20. \u041f\u0440\u0438\u043c\u0435\u0440 \u0432\u044b\u0432\u043e\u0434\u0430 \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440\u0430 (\u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043d \u043d\u0430\u043c\u0438)\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-20.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 20. \u041f\u0440\u0438\u043c\u0435\u0440 \u0432\u044b\u0432\u043e\u0434\u0430 \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440\u0430 (\u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043d \u043d\u0430\u043c\u0438)\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">20<\/span><\/em><span lang=\"EN-US\"><em>. \u041f\u0440\u0438\u043c\u0435\u0440 \u0432\u044b\u0432\u043e\u0434\u0430 \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440\u0430 (\u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043d \u043d\u0430\u043c\u0438)<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<h5>\u041c\u043e\u043d\u0438\u0442\u043e\u0440 \u0444\u0430\u0439\u043b\u043e\u0432 (SHA-1: 6E729E84C7672F048ED8AE847F20A0219E917FA)<\/h5>\n<p>\u042d\u0442\u043e\u0442 \u043f\u043b\u0430\u0433\u0438\u043d \u0445\u0440\u0430\u043d\u0438\u043b\u0441\u044f \u0432 <span>%APPDATA%NvmFiltersTUlsWa1.cr<\/span> \u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f DLL \u0441 \u043e\u0434\u043d\u0438\u043c \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u043e\u043c \u0441 \u0438\u043c\u0435\u043d\u0435\u043c Starts. \u0415\u0433\u043e \u043f\u0443\u0442\u044c \u043a PDB, <span>D:ProgrammingProjectsAutogenKhAutogenAlgReleasex64FileMonitoringModule.pdb<\/span>, \u043d\u0435 \u0431\u044b\u043b \u0443\u0434\u0430\u043b\u0435\u043d, \u0438 \u043e\u043d \u043f\u043e\u0432\u0442\u043e\u0440\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043a\u043e\u0434 \u0438\u0437 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u043e\u0432 \u0444\u0430\u0439\u043b\u043e\u0432 2014 \u0438 2020 \u0433\u043e\u0434\u043e\u0432, \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0445 \u0432\u044b\u0448\u0435. \u041e\u043d \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u0442 \u0434\u0438\u0441\u043a\u0438 \u0438 \u043d\u0435\u0434\u0430\u0432\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u044b, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043a\u043e\u043f\u0438\u0440\u0443\u0435\u0442 \u0444\u0430\u0439\u043b\u044b \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0432 <span>%TEMP%AcmSymrm<\/span>. \u0415\u0433\u043e \u043b\u043e\u0433-\u0444\u0430\u0439\u043b \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 <span>%TEMP%indexwti.sxd.<\/span><\/p>\n<h4>NightClub \u2013 2020\u20132022<\/h4>\n<p>\u0412 2020-11 \u0433\u043e\u0434\u0430\u0445 \u043c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 \u043d\u043e\u0432\u0443\u044e \u0432\u0435\u0440\u0441\u0438\u044e NightClub, \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u0443\u044e \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438 \u043d\u0430 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0430\u0445 \u0434\u0438\u043f\u043b\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u0430 \u0435\u0432\u0440\u043e\u043f\u0435\u0439\u0441\u043a\u043e\u0439 \u0441\u0442\u0440\u0430\u043d\u044b. \u0412 2022-07 \u0433\u043e\u0434\u0430\u0445 MoustachedBouncer \u0441\u043d\u043e\u0432\u0430 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043b \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0437 \u0442\u0435\u0445 \u0436\u0435 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u043e\u0432. \u0412\u0435\u0440\u0441\u0438\u0438 NightClub 2020 \u0438 2022 \u0433\u043e\u0434\u043e\u0432 \u043f\u043e\u0447\u0442\u0438 \u0438\u0434\u0435\u043d\u0442\u0438\u0447\u043d\u044b, \u0430 \u0432\u0435\u043a\u0442\u043e\u0440 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u043c.<\/p>\n<p>\u0415\u0433\u043e \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043d\u0435\u043c\u043d\u043e\u0433\u043e \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0445 \u0432\u0435\u0440\u0441\u0438\u0439, \u0442\u0430\u043a \u043a\u0430\u043a \u043e\u0440\u043a\u0435\u0441\u0442\u0440\u0430\u0442\u043e\u0440 \u0442\u0430\u043a\u0436\u0435 \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u0441\u0435\u0442\u0435\u0432\u044b\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438. \u0412\u0442\u043e\u0440\u043e\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0438 \u043d\u0430\u0437\u044b\u0432\u0430\u044e\u0442 \u043c\u043e\u0434\u0443\u043b\u044c\u043d\u044b\u043c \u0430\u0433\u0435\u043d\u0442\u043e\u043c (module agent), \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0437\u0430 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u043f\u043b\u0430\u0433\u0438\u043d\u043e\u0432. \u0412\u0441\u0435 \u043e\u0431\u0440\u0430\u0437\u0446\u044b \u0431\u044b\u043b\u0438 \u043d\u0430\u0439\u0434\u0435\u043d\u044b \u0432 \u043f\u0430\u043f\u043a\u0435 <span>%APPDATA%microsoftdef<\/span> \u0438 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u044b \u043d\u0430 C++ \u0441\u043e \u0441\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u043c\u0438 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430\u043c\u0438, \u0442\u0430\u043a\u0438\u043c\u0438 \u043a\u0430\u043a CSmtp \u0438\u043b\u0438 cpprestsdk. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u0435 \u2013 \u043e\u043a\u043e\u043b\u043e 5 \u041c\u0411.<\/p>\n<h5>\u041e\u0440\u043a\u0435\u0441\u0442\u0440\u0430\u0442\u043e\u0440<\/h5>\n<p>\u041d\u0430 \u043c\u0430\u0448\u0438\u043d\u0430\u0445 \u0436\u0435\u0440\u0442\u0432 \u043e\u0431\u0430 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0430 \u043e\u0440\u043a\u0435\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 (SHA-1: <span>92115E21E565440B1A26ECC20D2552A214155669<\/span> \u0438 <span>D14D9118335C9BF6633CB2A41023486DACBEB052<\/span>) \u043d\u0430\u0437\u044b\u0432\u0430\u043b\u0438\u0441\u044c <span>svhvost.exe<\/span>. \u041c\u044b \u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e MoustachedBouncer \u043f\u044b\u0442\u0430\u043b\u0441\u044f \u0437\u0430\u043c\u0430\u0441\u043a\u0438\u0440\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u043f\u043e\u0434 \u0438\u043c\u044f \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u043e\u0433\u043e \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 <span>svchost.exe<\/span>. \u0414\u043b\u044f \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u0441\u0442\u0432\u0430 \u043e\u043d \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0441\u043b\u0443\u0436\u0431\u0443 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>vAwast<\/span>.<\/p>\n<p>\u0412 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0445 \u0432\u0435\u0440\u0441\u0438\u0439, \u0434\u043b\u044f \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0442\u0440\u043e\u043a \u043e\u043d\u0438 \u043f\u0440\u043e\u0441\u0442\u043e \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u044e\u0442 <span>0x01<\/span> \u043a \u043a\u0430\u0436\u0434\u043e\u043c\u0443 \u0431\u0430\u0439\u0442\u0443. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0441\u0442\u0440\u043e\u043a\u0430 <span>cmd.exe<\/span> \u0431\u0443\u0434\u0435\u0442 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0430 \u043a\u0430\u043a <span>dne\/fyf<\/span>. \u0414\u0440\u0443\u0433\u043e\u0435 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432\u043e \u0432\u043d\u0435\u0448\u043d\u0435\u043c \u0444\u0430\u0439\u043b\u0435, \u0430 \u043d\u0435 \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0430 \u0432 \u0431\u0438\u043d\u0430\u0440\u043d\u043e\u043c \u0444\u0430\u0439\u043b\u0435. \u041e\u043d\u0430 \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u043f\u043e \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u0443\u0442\u0438 <span>%APPDATA%MicrosoftdefGfr45.cfg<\/span>, \u0430 \u0434\u0430\u043d\u043d\u044b\u0435 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0437\u0430\u043a\u0440\u044b\u0442\u043e\u0433\u043e RSA-\u043a\u043b\u044e\u0447\u0430 \u0434\u043b\u0438\u043d\u043e\u0439 2048 \u0431\u0438\u0442 (\u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 21) \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/bcrypt\/nf-bcrypt-bcryptimportkeypair\"><em>BCryptImportKeyPair<\/em><\/a> \u0438 <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/bcrypt\/nf-bcrypt-bcryptdecrypt\"><em>BCryptDecrypt<\/em><\/a>.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 21. \u0416\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0439 RSA-\u043a\u043b\u044e\u0447\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-21.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 21. \u0416\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0439 RSA-\u043a\u043b\u044e\u0447\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">21<\/span><\/em><span lang=\"EN-US\"><em>. \u0416\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0439 RSA-\u043a\u043b\u044e\u0447<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0444\u043e\u0440\u043c\u0430\u0442\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0432 JSON, \u043a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 22.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 22. \u0424\u043e\u0440\u043c\u0430\u0442 \u0432\u043d\u0435\u0448\u043d\u0435\u0439 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 NightClub\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-22.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 22. \u0424\u043e\u0440\u043c\u0430\u0442 \u0432\u043d\u0435\u0448\u043d\u0435\u0439 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 NightClub\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">22<\/span><\/em><span lang=\"EN-US\"><em>. \u0424\u043e\u0440\u043c\u0430\u0442 \u0432\u043d\u0435\u0448\u043d\u0435\u0439 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 NightClub<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u041d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0432\u0430\u0436\u043d\u044b\u043c\u0438 \u043a\u043b\u044e\u0447\u0430\u043c\u0438 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f <span>transport<\/span> \u0438 <span>modules<\/span>. \u041f\u0435\u0440\u0432\u044b\u0439 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u043f\u043e\u0447\u0442\u043e\u0432\u043e\u043c \u044f\u0449\u0438\u043a\u0435, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u043e\u043c \u0434\u043b\u044f C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0439, \u043a\u0430\u043a \u0438 \u0432 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0445 \u0432\u0435\u0440\u0441\u0438\u044f\u0445. \u0412\u0442\u043e\u0440\u043e\u0439 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0441\u043f\u0438\u0441\u043e\u043a \u043c\u043e\u0434\u0443\u043b\u0435\u0439.<\/p>\n<h5>\u041c\u043e\u0434\u0443\u043b\u044c\u043d\u044b\u0439 \u0430\u0433\u0435\u043d\u0442<\/h5>\n<p>\u0414\u0432\u0430 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0430 \u043c\u043e\u0434\u0443\u043b\u044c\u043d\u043e\u0433\u043e \u0430\u0433\u0435\u043d\u0442\u0430 (SHA-1: <span>DE0B38E12C0AF0FD63A67B03DD1F8C1BF7FA6128<\/span> \u0438 <span>E6DE72516C1D4338D7E45E028340B54DCDC7A8AC<\/span>) \u043d\u0430\u0437\u044b\u0432\u0430\u043b\u0438\u0441\u044c <span>schvost.exe<\/span>, \u0447\u0442\u043e \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0435\u0449\u0435 \u043e\u0434\u043d\u043e\u0439 \u0438\u043c\u0438\u0442\u0430\u0446\u0438\u0435\u0439 \u0438\u043c\u0435\u043d\u0438 \u0444\u0430\u0439\u043b\u0430 <span>svchost.exe<\/span>.<\/p>\n<p>\u042d\u0442\u043e\u0442 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0437\u0430 \u0437\u0430\u043f\u0443\u0441\u043a \u043c\u043e\u0434\u0443\u043b\u0435\u0439, \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0445 \u0432 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438. \u042d\u0442\u043e DLL-\u0444\u0430\u0439\u043b\u044b, \u043a\u0430\u0436\u0434\u044b\u0439 \u0441 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u043e\u043c \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>Start <\/span>\u0438\u043b\u0438<span><br \/>\n<span>Starts<\/span><\/span>. \u041e\u043d\u0438 \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u043d\u0430 \u0434\u0438\u0441\u043a\u0435 \u043d\u0435\u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c\u0438 \u0441 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435\u043c <span>.ini<\/span>, \u043d\u043e \u043d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f DLL<span>.<\/span><\/p>\n<h5>\u041c\u043e\u0434\u0443\u043b\u0438<\/h5>\n<p>\u0417\u0430 \u0432\u0440\u0435\u043c\u044f \u043d\u0430\u0448\u0435\u0433\u043e \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043f\u044f\u0442\u044c \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439: \u0430\u0443\u0434\u0438\u043e\u0440\u0435\u043a\u043e\u0440\u0434\u0435\u0440, \u0434\u0432\u0430 \u043f\u043e\u0447\u0442\u0438 \u0438\u0434\u0435\u043d\u0442\u0438\u0447\u043d\u044b\u0445 \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u0442\u0435\u0440\u0430, \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440 \u0438 DNS-\u0431\u044d\u043a\u0434\u043e\u0440. \u0414\u043b\u044f \u0432\u0441\u0435\u0445 \u043d\u0438\u0445: \u0438\u0445 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f, \u043e\u0442\u0444\u043e\u0440\u043c\u0430\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0432 JSON, \u043f\u0435\u0440\u0435\u0434\u0430\u0435\u0442\u0441\u044f \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <span>Start <\/span>\u0438\u043b\u0438<span><br \/>\n<span>Starts<\/span><\/span>.<\/p>\n<p>\u041f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0432\u044b\u0432\u043e\u0434 \u043f\u043b\u0430\u0433\u0438\u043d\u0430 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 <span>%TEMP%tmp123.tmp<\/span>. \u042d\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u043e\u043b\u044f \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 <span>file<\/span>. \u0422\u0430\u0431\u043b\u0438\u0446\u0430 3 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u043f\u043b\u0430\u0433\u0438\u043d\u044b.<\/p>\n<p><em>\u0422\u0430\u0431\u043b\u0438\u0446\u0430 3. \u041f\u043b\u0430\u0433\u0438\u043d\u044b NightClub<\/em><\/p>\n<p><em><\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\">\n<tbody>\n<tr>\n<td width=\"142\">\n<p><strong><span lang=\"EN-US\">\u0418\u043c\u044f \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0430 DLL<\/span><\/strong><\/p>\n<\/td>\n<td width=\"273\">\n<p><strong><span lang=\"EN-US\">\u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f<\/span><\/strong><\/p>\n<\/td>\n<td width=\"205\">\n<p><strong><span lang=\"EN-US\">\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"142\">\n<p><span><span lang=\"EN-US\">NotifyLoggers.dll<\/span><\/span><\/p>\n<\/td>\n<td width=\"273\">\n<p><span><span lang=\"EN-US\">{<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;name&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;enabled&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;max_size&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;file&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;chk_t&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;r_d&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;f_hs&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;t_hs&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\">}<\/span><\/span><\/p>\n<\/td>\n<td width=\"205\">\n<p><span lang=\"EN-US\">\u0410\u0443\u0434\u0438\u043e\u0440\u0435\u043a\u043e\u0440\u0434\u0435\u0440, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u0439 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 <a href=\"https:\/\/en.wikipedia.org\/wiki\/LAME\"><em><span>Lame<\/span><\/em><\/a> \u0438 <\/span><span><span lang=\"EN-US\">mciSendStringW<\/span><\/span><span lang=\"EN-US\"> \u0434\u043b\u044f \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0430\u0443\u0434\u0438\u043e\u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u043e\u043c. \u0414\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u043f\u043e\u043b\u044f \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u0434\u043b\u044f \u0443\u043a\u0430\u0437\u0430\u043d\u0438\u044f \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 Lame.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"142\">\n<p><span><span lang=\"EN-US\">MicroServiceRun.dll<\/span><\/span><\/p>\n<\/td>\n<td width=\"273\">\n<p><span><span lang=\"EN-US\">{<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;name&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;enabled&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;max_size&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;file&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;<br \/><span><br \/>\n<\/span>&#171;capture_on_key_press&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;period_in_sec&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;quality&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;app_keywords&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\">}<\/span><\/span><\/p>\n<\/td>\n<td width=\"205\">\n<p><span lang=\"EN-US\">\u0421\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u0442\u0435\u0440, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u0439 <\/span><span><span lang=\"EN-US\">CreateCompatibleDC<\/span><\/span><span lang=\"EN-US\"> \u0438 <\/span><span><span lang=\"EN-US\">GdipSaveImageToStream<\/span><\/span><span lang=\"EN-US\">, \u0438 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0449\u0438\u0439 \u0437\u0430\u0445\u0432\u0430\u0447\u0435\u043d\u043d\u044b\u0435 \u0438\u0437\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u0432 \u0444\u0430\u0439\u043b, \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u0432 <\/span><span><span lang=\"EN-US\">file<\/span><\/span><span lang=\"EN-US\"> \u043d\u0430 \u0434\u0438\u0441\u043a. \u0415\u0441\u043b\u0438 <\/span><span><span lang=\"EN-US\">app_keywords<\/span><\/span><span lang=\"EN-US\"> \u043d\u0435 \u043f\u0443\u0441\u0442, \u043e\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 <\/span><span><span lang=\"EN-US\">GetForegroundWindow<\/span><\/span><span lang=\"EN-US\"> \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0438\u043c\u0435\u043d\u0438 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u043e\u043a\u043d\u0430 \u0438 \u0437\u0430\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0435\u0433\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u0432 \u0442\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435, \u0435\u0441\u043b\u0438 \u043e\u043d\u043e \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 <\/span><span><span lang=\"EN-US\">app_keywords<\/span><\/span><span lang=\"EN-US\">.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"142\">\n<p><span><span lang=\"EN-US\">JobTesterDll.dll<\/span><\/span><\/p>\n<\/td>\n<td width=\"273\">\n<p><span><span lang=\"EN-US\">{<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;name&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;enabled&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;max_size&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;file&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\">}<\/span><\/span><\/p>\n<\/td>\n<td width=\"205\">\n<p><span lang=\"EN-US\">\u041a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u0439 API <\/span><span><span lang=\"EN-US\">GetKeyState<\/span><\/span><span lang=\"EN-US\">. \u041e\u043d \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u043b\u043e\u0433 \u0432 \u0444\u0430\u0439\u043b, \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u0432 <\/span><span><span lang=\"EN-US\">file<\/span><\/span><span lang=\"EN-US\"> \u043d\u0430 \u0434\u0438\u0441\u043a, \u0438 \u0444\u043e\u0440\u043c\u0430\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439: <\/span><span><span lang=\"EN-US\">&lt;\u0414\u0430\u0442\u0430&gt;&lt;\u0417\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u043e\u043a\u043d\u0430&gt;&lt;\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435&gt;<\/span><\/span><span lang=\"EN-US\">.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"142\">\n<p><span><span lang=\"EN-US\">ParametersParserer.dll<\/span><\/span><\/p>\n<\/td>\n<td width=\"273\">\n<p><span><span lang=\"EN-US\">{<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;name&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;enabled&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;max_size&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;file&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;,<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\"><span><br \/>\n<\/span>&#171;cc_server_address&#187;:&#187;&lt;\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435&gt;&#187;<\/span><\/span><\/p>\n<p><span><span lang=\"EN-US\">}<\/span><\/span><\/p>\n<\/td>\n<td width=\"205\">\n<p><span lang=\"EN-US\">DNS-\u0442\u0443\u043d\u043d\u0435\u043b\u044c\u043d\u044b\u0439 \u0431\u044d\u043a\u0434\u043e\u0440. <\/span><span><span lang=\"EN-US\">cc_server_address<\/span><\/span><span lang=\"EN-US\"> \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 IP-\u0430\u0434\u0440\u0435\u0441 DNS-\u0441\u0435\u0440\u0432\u0435\u0440\u0430, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0437\u0430\u043f\u0440\u043e\u0441\u044b. \u041f\u043e\u0434\u0440\u043e\u0431\u043d\u043e\u0441\u0442\u0438 \u0434\u0430\u043b\u0435\u0435.<\/span><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><\/em><\/p>\n<p>DNS-\u0442\u0443\u043d\u043d\u0435\u043b\u044c\u043d\u044b\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 (<span>ParametersParserer.dll<\/span>) \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0439 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b \u0434\u043b\u044f \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0438 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 \u043e\u0442 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e DNS-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 (<span>cc_server_address<\/span>). \u0420\u0438\u0441\u0443\u043d\u043e\u043a 23 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u0447\u0442\u043e DNS-\u0437\u0430\u043f\u0440\u043e\u0441 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430 IP-\u0430\u0434\u0440\u0435\u0441, \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u0432 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438, \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430 <span>pExtra<\/span> \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <span>DnsQuery_A<\/span>.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 23. DNS-\u0437\u0430\u043f\u0440\u043e\u0441 \u043a C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0443\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/2022-plugin-dns-request.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 23. DNS-\u0437\u0430\u043f\u0440\u043e\u0441 \u043a C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0443\" width=\"\"><figcaption>\n<p><em><a><\/a><span lang=\"EN-US\">\u0420\u0438\u0441\u0443\u043d\u043e\u043a <\/span><span lang=\"EN-US\">23<\/span><\/em><span lang=\"EN-US\"><em>. DNS-\u0437\u0430\u043f\u0440\u043e\u0441 \u043a C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0443<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u041f\u043b\u0430\u0433\u0438\u043d \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u043a\u0430\u043a \u0447\u0430\u0441\u0442\u044c \u0438\u043c\u0435\u043d\u0438 \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u0430 \u0434\u043e\u043c\u0435\u043d\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u043e\u0433\u043e \u0432 DNS-\u0437\u0430\u043f\u0440\u043e\u0441\u0435 (<span>pszName<\/span> \u0432\u044b\u0448\u0435). \u0414\u043e\u043c\u0435\u043d \u0432\u0441\u0435\u0433\u0434\u0430 <span>11.1.1.cid<\/span>, \u0430 \u0434\u0430\u043d\u043d\u044b\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442\u0441\u044f \u0432 \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u0435. \u041e\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0444\u043e\u0440\u043c\u0430\u0442, \u0433\u0434\u0435 <span>x<\/span> \u2014 \u044d\u0442\u043e \u0431\u0443\u043a\u0432\u0430, \u0430 \u043d\u0435 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f:<\/p>\n<p>The plugin adds the data to exfiltrate as part of the subdomain name of the domain that is used in the DNS request (<span>pszName<\/span> above). The domain is always <span>11.1.1.cid<\/span> and the data is contained in the subdomain. It uses the following format, where <span>x<\/span> is the letter, not some variable:<\/p>\n<p><span>x + &lt;\u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 base64(buffer)&gt; + x.11.1.1.cid<\/span><\/p>\n<p>\u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043f\u0435\u0440\u0432\u044b\u0439 DNS-\u0437\u0430\u043f\u0440\u043e\u0441, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u043f\u043b\u0430\u0433\u0438\u043d, \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u0430\u043a: <span>xZW1wdHkx.11.1.1.cid<\/span>, \u0433\u0434\u0435 <span>ZW1wdHk<\/span> \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043a\u0430\u043a <span>empty<\/span> (\u043f\u0443\u0441\u0442\u043e). <\/p>\n<p>\u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u0444\u0443\u043d\u043a\u0446\u0438\u044f base64 \u0437\u0434\u0435\u0441\u044c \u043d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u0430\u044f. \u041e\u043d\u0430 \u0443\u0431\u0438\u0440\u0430\u0435\u0442 \u0441\u0438\u043c\u0432\u043e\u043b <span>=<\/span>, \u0435\u0441\u043b\u0438 \u043e\u043d \u0435\u0441\u0442\u044c, \u0438\u0437 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0430 base64-\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u043c\u0435\u043d\u044f\u0435\u0442 \u0441\u0438\u043c\u0432\u043e\u043b\u044b <span>\/<\/span> \u043d\u0430 <span>-s<\/span> \u0438 <span>+<\/span> \u043d\u0430 <span>-p<\/span>. \u042d\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0432\u0430\u043b\u0438\u0434\u043d\u044b\u0445 \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0435 base64-\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u043c\u043e\u0436\u0435\u0442 \u0432\u044b\u0434\u0430\u0432\u0430\u0442\u044c \u0441\u0438\u043c\u0432\u043e\u043b\u044b <span>+<\/span>, <span>\/<\/span> \u0438 <span>=<\/span>, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435\u0434\u043e\u043f\u0443\u0441\u0442\u0438\u043c\u044b \u0432 \u0434\u043e\u043c\u0435\u043d\u043d\u044b\u0445 \u0438\u043c\u0435\u043d\u0430\u0445 \u0438 \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u044b \u0432 \u0441\u0435\u0442\u0435\u0432\u043e\u043c \u0442\u0440\u0430\u0444\u0438\u043a\u0435.<\/p>\n<p>\u0417\u0430\u0442\u0435\u043c \u043f\u043b\u0430\u0433\u0438\u043d \u0447\u0438\u0442\u0430\u0435\u0442 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0434\u043e\u043b\u0436\u0435\u043d \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0442\u044c \u0441\u043e\u0431\u043e\u0439 \u043e\u0434\u043d\u0443 \u0438\u043b\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e TXT-\u0437\u0430\u043f\u0438\u0441\u0435\u0439 DNS, \u0442\u0430\u043a \u043a\u0430\u043a \u0444\u043b\u0430\u0433 <span>DNS_TYPE_TEXT<\/span> \u043f\u0435\u0440\u0435\u0434\u0430\u0435\u0442\u0441\u044f \u0432 <span>DnsQuery_A<\/span>. Microsoft \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u0442 <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/windns\/ns-windns-dns_txt_dataa\"><em>\u0431\u0430\u0437\u043e\u0432\u0443\u044e \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 DNS_TXT_DATAA<\/em><\/a>. \u041e\u043d\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043c\u0430\u0441\u0441\u0438\u0432 \u0441\u0442\u0440\u043e\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u0431\u044a\u0435\u0434\u0438\u043d\u044f\u044e\u0442\u0441\u044f \u0434\u043b\u044f \u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u044b\u0445\u043e\u0434\u043d\u043e\u0433\u043e \u0431\u0443\u0444\u0435\u0440\u0430.<\/p>\n<figure><img decoding=\"async\" alt=\"Figure 24. The plugin reads the TXT record\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/2022-dns-data-txt-1.png\" title=\"Figure 24. The plugin reads the TXT record\" width=\"\"><figcaption>\n<p><em><span lang=\"EN-US\">Figure <\/span><span lang=\"EN-US\">24<\/span><\/em><span lang=\"EN-US\"><em>. \u041f\u043b\u0430\u0433\u0438\u043d \u0447\u0438\u0442\u0430\u0435\u0442 TXT-\u0437\u0430\u043f\u0438\u0441\u044c<\/em><\/span><\/p>\n<\/figcaption><\/figure>\n<p>\u041e\u0436\u0438\u0434\u0430\u0435\u043c\u044b\u0439 \u0444\u043e\u0440\u043c\u0430\u0442 \u043e\u0442\u0432\u0435\u0442\u0430:<\/p>\n<p><span>x + &lt;\u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442, \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c base64&gt; + x.&lt;cmd_id&gt;.&lt;\u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0439 integer&gt;.1.&lt;cmd_name&gt;<\/span><\/p>\n<p>\u042d\u0442\u043e \u043f\u043e\u0445\u043e\u0436\u0435 \u043d\u0430 \u0444\u043e\u0440\u043c\u0430\u0442 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432. <span>&lt;\u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442, \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c base64&gt;<\/span> \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u043e\u0435 base64-\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0431\u0435\u0437 <span>=<\/span> \u0438 \u0441 \u0437\u0430\u043c\u0435\u043d\u043e\u0439 <span>+<\/span> \u043d\u0430 <span>-p<\/span> \u0438 <span>\/<\/span> \u043d\u0430 <span>-s<\/span>. <span>&lt;cmd_name&gt;<\/span> \u2014 \u044d\u0442\u043e \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u0430\u044f \u0441\u0442\u0440\u043e\u043a\u0430, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u0431\u044d\u043a\u0434\u043e\u0440 \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442; \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u043e\u043d\u0430 \u043d\u0443\u0436\u043d\u0430 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u0430\u043c \u0434\u043b\u044f \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u043d\u0438\u044f \u0440\u0430\u0437\u043d\u044b\u0445 \u043a\u043e\u043c\u0430\u043d\u0434. <span>&lt;cmd_id&gt;<\/span> \u2014 \u044d\u0442\u043e \u0446\u0435\u043b\u043e\u0447\u0438\u0441\u043b\u0435\u043d\u043d\u044b\u0439 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0432 <span>switch<\/span>-\u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u0435 \u0431\u044d\u043a\u0434\u043e\u0440\u0430. <\/p>\n<p>\u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0435\u0441\u043b\u0438 \u0431\u044b \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u0437\u0430\u0445\u043e\u0442\u0435\u043b\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c <span>calc.exe<\/span>, DNS C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 \u043f\u0440\u0438\u0441\u043b\u0430\u043b \u0431\u044b \u043e\u0442\u0432\u0435\u0442 <span>xYzpcd2luZG93c1xzeXN0ZW0zMlxjYWxjLmV4ZQx.27.2.1.calc<\/span>, \u0433\u0434\u0435 <span>Yzpcd2luZG93c1xzeXN0ZW0zMlxjYWxjLmV4ZQ<\/span> \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043a\u0430\u043a <span>c:windowssystem32calc.exe<\/span>, \u0430 <span>27<\/span> \u2014 \u044d\u0442\u043e ID \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u043d\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043d\u043e\u0432\u043e\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430. \u0412\u0441\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u044b, \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0435 \u044d\u0442\u0438\u043c \u0431\u044d\u043a\u0434\u043e\u0440\u043e\u043c, \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u044b \u0432 \u0422\u0430\u0431\u043b\u0438\u0446\u0435 4.<\/p>\n<p><em>\u0422\u0430\u0431\u043b\u0438\u0446\u0430 4. \u041a\u043e\u043c\u0430\u043d\u0434\u044b, \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0432 DNS-\u0431\u044d\u043a\u0434\u043e\u0440\u0435<\/em><\/p>\n<p><em><\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\">\n<tbody>\n<tr>\n<td width=\"75\">\n<p><strong><span lang=\"EN-US\">ID<\/span><\/strong><\/p>\n<\/td>\n<td width=\"546\">\n<p><strong><span lang=\"EN-US\">\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"75\">\n<p><span><span lang=\"EN-US\">0x15<\/span><\/span><span lang=\"EN-US\"> (21)<\/span><\/p>\n<\/td>\n<td width=\"546\">\n<p><span lang=\"EN-US\">\u041a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043a\u0430\u0442\u0430\u043b\u043e\u0433 (\u0438\u0437 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0430 \u0432 \u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435)<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"75\">\n<p><span><span lang=\"EN-US\">0x16<\/span><\/span><span lang=\"EN-US\"> (22)<\/span><\/p>\n<\/td>\n<td width=\"546\">\n<p><span lang=\"EN-US\">\u041f\u0435\u0440\u0435\u043c\u0435\u0441\u0442\u0438\u0442\u044c \u0444\u0430\u0439\u043b (\u0438\u0437 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0430 \u0432 \u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435)<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"75\">\n<p><span><span lang=\"EN-US\">0x17<\/span><\/span><span lang=\"EN-US\"> (23)<\/span><\/p>\n<\/td>\n<td width=\"546\">\n<p><span lang=\"EN-US\">\u0423\u0434\u0430\u043b\u0438\u0442\u044c \u0444\u0430\u0439\u043b \u0438\u043b\u0438 \u043a\u0430\u0442\u0430\u043b\u043e\u0433<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"75\">\n<p><span><span lang=\"EN-US\">0x18<\/span><\/span><span lang=\"EN-US\"> (24)<\/span><\/p>\n<\/td>\n<td width=\"546\">\n<p><span lang=\"EN-US\">\u041f\u043e\u0438\u0441\u043a \u0444\u0430\u0439\u043b\u0430 \u043f\u043e \u0437\u0430\u0434\u0430\u043d\u043d\u043e\u043c\u0443 \u0448\u0430\u0431\u043b\u043e\u043d\u0443 (\u041f\u0440\u0438\u043c\u0435\u0447\u0430\u043d\u0438\u0435: \u043c\u044b \u043d\u0435 \u0443\u0432\u0435\u0440\u0435\u043d\u044b \u0432 \u0442\u043e\u0447\u043d\u043e\u043c \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0438 \u044d\u0442\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u044b)<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"75\">\n<p><span><span lang=\"EN-US\">0x19<\/span><\/span><span lang=\"EN-US\"> (25)<\/span><\/p>\n<\/td>\n<td width=\"546\">\n<p><span lang=\"EN-US\">\u0417\u0430\u043f\u0438\u0441\u044c \u0431\u0443\u0444\u0435\u0440\u0430 \u0432 \u0444\u0430\u0439\u043b<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"75\">\n<p><span><span lang=\"EN-US\">0x1A<\/span><\/span><span lang=\"EN-US\"> (26)<\/span><\/p>\n<\/td>\n<td width=\"546\">\n<p><span lang=\"EN-US\">\u0427\u0442\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"75\">\n<p><span><span lang=\"EN-US\">0x1B<\/span><\/span><span lang=\"EN-US\"> (27)<\/span><\/p>\n<\/td>\n<td width=\"546\">\n<p><span lang=\"EN-US\">\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430<\/span><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><\/em><\/p>\n<p>\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u043c\u0430\u043d\u0434 \u0442\u0430\u043a\u0436\u0435 \u0432\u044b\u0432\u043e\u0434\u0438\u0442\u0441\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0443 \u0447\u0435\u0440\u0435\u0437 DNS-\u0437\u0430\u043f\u0440\u043e\u0441\u044b, \u043a\u0430\u043a \u043e\u043f\u0438\u0441\u0430\u043d\u043e \u0432\u044b\u0448\u0435. \u0415\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0435 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u2014 \u0432\u043c\u0435\u0441\u0442\u043e <span>11<\/span> \u0432 \u0434\u043e\u043c\u0435\u043d\u043d\u043e\u043c \u0438\u043c\u0435\u043d\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f <span>12<\/span>, \u043a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u0432 \u044d\u0442\u043e\u043c \u043f\u0440\u0438\u043c\u0435\u0440\u0435: <span>xdGltZW91dAx.12.1.1.cid<\/span>. \u0412 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043f\u043b\u0430\u0433\u0438\u043d \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u043b \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u043e \u0442\u0430\u0439\u043c-\u0430\u0443\u0442\u0435 \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440.<\/p>\n<h2>\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h2>\n<p>MoustachedBouncer \u2014 \u044d\u0442\u043e \u0438\u0441\u043a\u0443\u0441\u043d\u044b\u0439 \u0445\u0430\u043a\u0435\u0440, \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u043d\u044b\u0439 \u043d\u0430 \u0438\u043d\u043e\u0441\u0442\u0440\u0430\u043d\u043d\u044b\u0445 \u0434\u0438\u043f\u043b\u043e\u043c\u0430\u0442\u043e\u0432 \u0432 \u0411\u0435\u043b\u0430\u0440\u0443\u0441\u0438. \u041e\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0434\u0432\u0438\u043d\u0443\u0442\u044b\u0435 \u043c\u0435\u0442\u043e\u0434\u044b \u0434\u043b\u044f \u0441\u0432\u044f\u0437\u0438 \u0441 C&amp;C, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 \u0434\u043b\u044f \u0438\u043c\u043f\u043b\u0430\u043d\u0442\u0430 Disco, \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u044b\u0435 \u043f\u0438\u0441\u044c\u043c\u0430 \u0434\u043b\u044f \u0438\u043c\u043f\u043b\u0430\u043d\u0442\u0430 NightClub \u0438 DNS \u0434\u043b\u044f \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u043f\u043b\u0430\u0433\u0438\u043d\u043e\u0432 NightClub.<\/p>\n<p>\u0413\u043b\u0430\u0432\u043d\u044b\u0439 \u0432\u044b\u0432\u043e\u0434: \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f\u043c, \u043d\u0430\u0445\u043e\u0434\u044f\u0449\u0438\u043c\u0441\u044f \u0432 \u0437\u0430\u0440\u0443\u0431\u0435\u0436\u043d\u044b\u0445 \u0441\u0442\u0440\u0430\u043d\u0430\u0445, \u0433\u0434\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442 \u043d\u0435\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u0435\u043d, \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c VPN-\u0442\u0443\u043d\u043d\u0435\u043b\u044c \u0441 end-to-end \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0434\u043e \u0434\u043e\u0432\u0435\u0440\u0435\u043d\u043d\u043e\u0433\u043e \u043c\u0435\u0441\u0442\u043e\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0434\u043b\u044f \u0432\u0441\u0435\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u0442\u0440\u0430\u0444\u0438\u043a\u0430, \u0447\u0442\u043e\u0431\u044b \u043e\u0431\u043e\u0439\u0442\u0438 \u043b\u044e\u0431\u044b\u0435 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430 \u0438\u043d\u0441\u043f\u0435\u043a\u0446\u0438\u0438 \u0441\u0435\u0442\u0438.<\/p>\n<blockquote>\n<p>\u041f\u043e \u0432\u0441\u0435\u043c \u0432\u043e\u043f\u0440\u043e\u0441\u0430\u043c, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u043c \u0441 \u043d\u0430\u0448\u0438\u043c \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435\u043c, \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043d\u043d\u044b\u043c \u043d\u0430 WeLiveSecurity, \u043e\u0431\u0440\u0430\u0449\u0430\u0439\u0442\u0435\u0441\u044c \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443: <a href=\"mailto:threatintel@eset.com?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=autotagging&amp;utm_content=eset-research&amp;utm_term=en\">threatintel@eset.com<\/a>.<br \/>ESET Research \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u0435\u0442 \u0447\u0430\u0441\u0442\u043d\u044b\u0435 \u043e\u0442\u0447\u0435\u0442\u044b \u043f\u043e APT-\u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0435 \u0438 \u043f\u043e\u0442\u043e\u043a\u0438 \u0434\u0430\u043d\u043d\u044b\u0445. \u041f\u043e \u0432\u0441\u0435\u043c \u0432\u043e\u043f\u0440\u043e\u0441\u0430\u043c, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u043c \u0441 \u044d\u0442\u043e\u0439 \u0443\u0441\u043b\u0443\u0433\u043e\u0439, \u043f\u043e\u0441\u0435\u0442\u0438\u0442\u0435 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 <a href=\"https:\/\/www.eset.com\/int\/business\/services\/threat-intelligence\/?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=wls-research&amp;utm_content=moustached-bouncer-espionage-against-foreign-diplomats-in-belarus\">ESET Threat Intelligence<\/a>.<\/p>\n<\/blockquote>\n<h2>\u041f\u043e\u0434\u043a\u0430\u0441\u0442 ESET Research<\/h2>\n<p>\u0415\u0441\u043b\u0438 \u0432\u044b \u0445\u043e\u0442\u0438\u0442\u0435 \u0443\u0437\u043d\u0430\u0442\u044c, \u043a\u0430\u043a \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 ESET \u043d\u0430\u0437\u0432\u0430\u043b\u0438 MoustachedBouncer \u0438 \u0435\u0433\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b Disco \u0438 NightClub, \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442 \u044d\u0442\u0443 \u0433\u0440\u0443\u043f\u043f\u0443 \u0434\u043e\u0441\u0442\u043e\u0439\u043d\u043e\u0439 \u0437\u0432\u0430\u043d\u0438\u044f \u00ab\u043f\u0440\u043e\u0434\u0432\u0438\u043d\u0443\u0442\u0430\u044f\u00bb, \u0438\u043b\u0438 \u043c\u043e\u0433\u043b\u0438 \u043b\u0438 \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u043a\u0438 \u0446\u0435\u043b\u0435\u0432\u044b\u0445 \u043f\u043e\u0441\u043e\u043b\u044c\u0441\u0442\u0432 \u043f\u0440\u0438\u043d\u0435\u0441\u0442\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u0434\u043e\u043c\u043e\u0439 \u0441 \u0440\u0430\u0431\u043e\u0442\u044b, \u0442\u043e \u043f\u043e\u0441\u043b\u0443\u0448\u0430\u0439\u0442\u0435 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0439 \u0432\u044b\u043f\u0443\u0441\u043a \u043f\u043e\u0434\u043a\u0430\u0441\u0442\u0430 ESET Research. \u0416\u0430\u043d-\u042f\u043d \u0411\u0443\u0442\u0435\u043d, \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440 \u043e\u0442\u0434\u0435\u043b\u0430 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0439 \u0443\u0433\u0440\u043e\u0437 ESET, \u043e\u0431\u044a\u044f\u0441\u043d\u044f\u0435\u0442 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438 MoustachedBouncer \u043d\u0430\u0448\u0435\u043c\u0443 \u0432\u0435\u0434\u0443\u0449\u0435\u043c\u0443 \u0438 \u0432\u044b\u0434\u0430\u044e\u0449\u0435\u043c\u0443\u0441\u044f \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044e ESET <a href=\"https:\/\/www.welivesecurity.com\/author\/goretsky\/\">\u0410\u0440\u044c\u0435 \u0413\u043e\u0440\u0435\u0446\u043a\u043e\u043c\u0443<\/a>. \u0415\u0441\u043b\u0438 \u0432\u0430\u043c \u043d\u0440\u0430\u0432\u0438\u0442\u0441\u044f \u0441\u043b\u0443\u0448\u0430\u0442\u044c \u043e \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438, \u043f\u043e\u0434\u043f\u0438\u0441\u044b\u0432\u0430\u0439\u0442\u0435\u0441\u044c \u043d\u0430 \u043d\u0430\u0448 \u043f\u043e\u0434\u043a\u0430\u0441\u0442 ESET Research \u043d\u0430 <a href=\"https:\/\/open.spotify.com\/show\/1WDjY2A3A3s5FKycrOVkhg\">Spotify<\/a>, <a href=\"https:\/\/podcasts.google.com\/feed\/aHR0cHM6Ly9mZWVkLnBvZGJlYW4uY29tL2VzZXRyZXNlYXJjaC9mZWVkLnhtbA\">Google Podcasts<\/a>, <a href=\"https:\/\/podcasts.apple.com\/us\/podcast\/eset-research-podcast\/id1596306608\">Apple Podcasts<\/a> \u0438\u043b\u0438 <a href=\"https:\/\/esetresearch.podbean.com\/\">PodBean<\/a>.<\/p>\n<\/p>\n<h2>IoCs<\/h2>\n<h3>\u0424\u0430\u0439\u043b\u044b<\/h3>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"622\">\n<tbody>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">SHA-1<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">\u0418\u043c\u044f \u0444\u0430\u0439\u043b\u0430<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">02790DC4B276DFBB26C714F29D19E53129BB6186<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">index.html<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">JS\/TrojanDownloader.Agent.YJJ<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u0424\u0435\u0439\u043a\u043e\u0432\u0430\u044f \u0432\u0435\u0431-\u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Windows.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">6EFF58EDF7AC0FC60F0B8F7E22CFE243566E2A13<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">jdrop.js<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">JS\/TrojanDownloader.Agent.YJJ<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">JavaScript-\u043a\u043e\u0434, \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u044e\u0449\u0438\u0439 \u0437\u0430\u043f\u0440\u043e\u0441 \u043d\u0430 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0444\u0435\u0439\u043a\u043e\u0432\u043e\u0433\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Windows.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">E65EB4467DDB1C99B09AE87BA0A964C36BAB4C30<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">MicrosoftUpdate845255.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">WinGo\/Agent.ET<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Disco dropper.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">3A9B699A25257CBD0476CB1239FF9B25810305FE<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">driverpackUpdate.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">WinGo\/Runner.B<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Disco-\u043f\u043b\u0430\u0433\u0438\u043d. \u0412\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 PowerShell-\u0441\u043a\u0440\u0438\u043f\u0442\u044b.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">19E3D06FBE276D4AAEA25ABC36CC40EA88435630<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">DPU.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">WinGo\/Runner.C<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Disco-\u043f\u043b\u0430\u0433\u0438\u043d. \u0412\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 PowerShell-\u0441\u043a\u0440\u0438\u043f\u0442\u044b.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">52BE04C420795B0D9C7CD1A4ACBF8D5953FAFD16<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">sdrive.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win64\/Exploit.CVE-2021-1732.I<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Disco-\u043f\u043b\u0430\u0433\u0438\u043d. \u042d\u043a\u0441\u043f\u043b\u043e\u0439\u0442 LPE \u0434\u043b\u044f CVE-2021-1732.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">0241A01D4B03BD360DD09165B59B63AC2CECEAFB<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">nod32update.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">WinGo\/Agent.EV<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Disco-\u043f\u043b\u0430\u0433\u0438\u043d. \u041e\u0431\u0440\u0430\u0442\u043d\u044b\u0439 \u043f\u0440\u043e\u043a\u0441\u0438 \u043d\u0430 \u0431\u0430\u0437\u0435 revsocks.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">A01F1A9336C83FFE1B13410C93C1B04E15E2996C<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">aact.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">WinGo\/Spy.Agent.W<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Disco-\u043f\u043b\u0430\u0433\u0438\u043d. \u0414\u0435\u043b\u0430\u0435\u0442 \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u044b.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">C2AA90B441391ADEFAA3A841AA8CE777D6EC7E18<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">officetelemetry.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">WinGo\/Agent.BT<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Disco-\u043f\u043b\u0430\u0433\u0438\u043d. \u041e\u0431\u0440\u0430\u0442\u043d\u044b\u0439 \u043f\u0440\u043e\u043a\u0441\u0438 \u043d\u0430 \u0431\u0430\u0437\u0435 revsocks. <\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">C5B2323EAE5E01A6019931CE35FF7623DF7346BA<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">oracleTelemetry.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">WinGo\/Spy.Agent.W<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Disco-\u043f\u043b\u0430\u0433\u0438\u043d, \u0443\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u044b\u0439 Themida. \u0414\u0435\u043b\u0430\u0435\u0442 \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u044b. <\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">C46CB98D0CECCB83EC7DE070B3FA7AFEE7F41189<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">outlooksync.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">WinGo\/Spy.Agent.W<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Disco-\u043f\u043b\u0430\u0433\u0438\u043d. \u0414\u0435\u043b\u0430\u0435\u0442 \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u044b. <\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">A3AE82B19FEE2756D6354E85A094F1A4598314AB<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">kb4480959_EdgeUpdate.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">MSIL\/TrojanDropper.Agent.FKQ<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Disco .NET dropper.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">4F1CECF6D05571AE35ED00AC02D5E8E0F878A984<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">WinSrcNT.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.B<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u041f\u043b\u0430\u0433\u0438\u043d NightClub, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 Disco. \u041a\u0440\u0430\u0434\u0435\u0442 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u044b. <\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">0DAEA89F91A55F46D33C294CFE84EF06CE22E393<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">It11.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.B<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u041f\u043b\u0430\u0433\u0438\u043d NightClub, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 Disco. \u041a\u0440\u0430\u0434\u0435\u0442 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u044b.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">11CF38D971534D9B619581CEDC19319962F3B996<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">It3.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.B<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u041f\u043b\u0430\u0433\u0438\u043d NightClub, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 Disco. \u0414\u0435\u043b\u0430\u0435\u0442 \u043f\u043e\u043b\u043d\u044b\u0435 \u0434\u0430\u043c\u043f\u044b \u0441\u044a\u0435\u043c\u043d\u044b\u0445 \u043d\u043e\u0441\u0438\u0442\u0435\u043b\u0435\u0439.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">F92FE4DD679903F75ADE64DC8A20D46DFBD3B277<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">metamn.dll<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win64\/Nightclub.B<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">NightClub (\u0432\u0435\u0440\u0441\u0438\u044f 2017).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">6999730D0715606D14ACD19329AF0685B8AD0299<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">et2z7q0FREZ.cr<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win64\/Nightclub.B<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u041f\u043b\u0430\u0433\u0438\u043d NightClub. \u041a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">6E729E84C7672F048ED8AE847F20A0219E917FA3<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">sTUlsWa1.cr<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win64\/Nightclub.A<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u041f\u043b\u0430\u0433\u0438\u043d NightClub. \u0428\u043f\u0438\u043e\u043d \u0437\u0430 \u0444\u0430\u0439\u043b\u0430\u043c\u0438.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">0401EE7F3BC384734BF7E352C4C4BC372840C30D<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">EsetUpdate-0117583943.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.C<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">NightClub dropper.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">5B55250CC0DA407201B5F042322CFDBF56041632<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">creh.dll<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.C<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">NightClub (2014).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">D14D9118335C9BF6633CB2A41023486DACBEB052<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">svhvost.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.D<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u041e\u0440\u043a\u0435\u0441\u0442\u0440\u0430\u0442\u043e\u0440 (NightClub).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">E6DE72516C1D4338D7E45E028340B54DCDC7A8AC<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">schvost.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.D<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u041c\u043e\u0434\u0443\u043b\u044c\u043d\u044b\u0439 \u0430\u0433\u0435\u043d\u0442 (NightClub).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">3AD77281640E7BA754E9B203C8B6ABFD3F6A7BDD<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">nullnat.ini<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.D<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u0411\u044d\u043a\u0434\u043e\u0440 \u0441 DNS-\u0442\u0443\u043d\u043d\u0435\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435\u043c (\u043f\u043b\u0430\u0433\u0438\u043d NightClub).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">142FF0770BC6E3D077FBB64D6F23499D9DEB9093<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">soccix.ini<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.D<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u041a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440 (\u043f\u043b\u0430\u0433\u0438\u043d NightClub).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">FE9527277C06D7F986161291CE7854EE79788CB8<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">oreonion.ini<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.D<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u0421\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u0442\u0435\u0440 (\u043f\u043b\u0430\u0433\u0438\u043d NightClub).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">92115E21E565440B1A26ECC20D2552A214155669<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">svhvost.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.D<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u041e\u0440\u043a\u0435\u0441\u0442\u0440\u0430\u0442\u043e\u0440 (NightClub).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">DE0B38E12C0AF0FD63A67B03DD1F8C1BF7FA6128<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">schvost.exe<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.D<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u041c\u043e\u0434\u0443\u043b\u044c\u043d\u044b\u0439 \u0430\u0433\u0435\u043d\u0442 (NightClub).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">D2B715A72BBA307CC9BF7690439D34F62EDF1324<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">sysleg.ini<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.D<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u0417\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0430\u0443\u0434\u0438\u043e (\u043f\u043b\u0430\u0433\u0438\u043d NightClub).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"155\">\n<p><strong><span lang=\"EN-US\">DF8DED42F9B7DE1F439AEC50F9C2A13CD5EB1DB6<\/span><\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><span><span lang=\"EN-US\">oreonion.ini<\/span><\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">Win32\/Nightclub.D<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p><span lang=\"EN-US\">\u0414\u0435\u043b\u0430\u0435\u0442 \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u044b (\u043f\u043b\u0430\u0433\u0438\u043d NightClub).<\/span><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u044b<\/h3>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\">\n<tbody>\n<tr>\n<td width=\"153\">\n<p><strong><span lang=\"EN-US\">IP<\/span><\/strong><\/p>\n<\/td>\n<td width=\"182\">\n<p><strong><span lang=\"EN-US\">\u0414\u043e\u043c\u0435\u043d<\/span><\/strong><\/p>\n<\/td>\n<td width=\"141\">\n<p><strong><span lang=\"EN-US\">\u0417\u0430\u043c\u0435\u0447\u0435\u043d \u0432\u043f\u0435\u0440\u0432\u044b\u0435<\/span><\/strong><\/p>\n<\/td>\n<td width=\"144\">\n<p><strong><span lang=\"EN-US\">\u041a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0439<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"153\">\n<p><span><strong><span lang=\"EN-US\">185.87.148[.]86<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"182\">\n<p><span><span lang=\"EN-US\">centrocspupdate[.]com<\/span><\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span lang=\"EN-US\">3 \u043d\u043e\u044f\u0431\u0440\u044f 2021<\/span><\/p>\n<\/td>\n<td width=\"144\">\n<p><span lang=\"EN-US\">\u041f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c\u044b\u0439 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 NightClub.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"153\">\n<p><span><strong><span lang=\"EN-US\">185.87.151[.]130<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"182\">\n<p><span><span lang=\"EN-US\">ocsp-atomsecure[.]com<\/span><\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span lang=\"EN-US\">11 \u043d\u043e\u044f\u0431\u0440\u044f 2021<\/span><\/p>\n<\/td>\n<td width=\"144\">\n<p><span lang=\"EN-US\">\u041f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c\u044b\u0439 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 NightClub.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"153\">\n<p><span><strong><span lang=\"EN-US\">45.136.199[.]67<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"182\">\n<p><span><span lang=\"EN-US\">securityocspdev[.]com<\/span><\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span lang=\"EN-US\">5 \u0438\u044e\u043b\u044f 2022<\/span><\/p>\n<\/td>\n<td width=\"144\">\n<p><span lang=\"EN-US\">C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 NightClub.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"153\">\n<p><span><strong><span lang=\"EN-US\">45.136.199[.]129<\/span><\/strong><\/span><\/p>\n<\/td>\n<td width=\"182\">\n<p><span><span lang=\"EN-US\">dervasopssec[.]com<\/span><\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span lang=\"EN-US\">12 \u043e\u043a\u0442\u044f\u0431\u0440\u044f 2022<\/span><\/p>\n<\/td>\n<td width=\"144\">\n<p><span lang=\"EN-US\">\u041f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c\u044b\u0439 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 NightClub.<\/span><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>\u00ab\u0424\u0435\u0439\u043a\u043e\u0432\u044b\u0435\u00bb \u0434\u043e\u043c\u0435\u043d\u044b, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0432 AitM<\/h3>\n<p>\u041f\u0440\u0438\u043c\u0435\u0447\u0430\u043d\u0438\u0435: \u042d\u0442\u0438 \u0434\u043e\u043c\u0435\u043d\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u0432 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435, \u043a\u043e\u0433\u0434\u0430 DNS-\u0437\u0430\u043f\u0440\u043e\u0441\u044b \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0434\u043e \u0438\u0445 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442. \u041e\u043d\u0438 \u043d\u0435 \u0440\u0430\u0437\u0440\u0435\u0448\u0430\u044e\u0442\u0441\u044f \u0432\u043d\u0435 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0430 \u0430\u0442\u0430\u043a\u0438 AitM.<\/p>\n<p><span>windows.network.troubleshooter[.]com<\/span><\/p>\n<p><span>updates.microsoft[.]com<\/span><\/p>\n<\/p>\n<h3>IP-\u0430\u0434\u0440\u0435\u0441\u0430 SMB-\u0448\u0430\u0440, \u043f\u043e\u043a\u0430 \u0438\u0434\u0435\u0442 AitM<\/h3>\n<p>\u041f\u0440\u0438\u043c\u0435\u0447\u0430\u043d\u0438\u0435: \u042d\u0442\u0438 IP-\u0430\u0434\u0440\u0435\u0441\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u0432 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435, \u043a\u043e\u0433\u0434\u0430 \u0442\u0440\u0430\u0444\u0438\u043a \u043a \u043d\u0438\u043c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0434\u043e \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442. \u042d\u0442\u0438 \u043c\u0430\u0440\u0448\u0440\u0443\u0442\u0438\u0437\u0438\u0440\u0443\u0435\u043c\u044b\u0435 \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0435 IP-\u0430\u0434\u0440\u0435\u0441\u0430 \u043d\u0435 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c\u0438 \u0432\u043d\u0435 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0430 \u0430\u0442\u0430\u043a\u0438 AitM.<\/p>\n<p><span>24.9.51[.]94<\/span><\/p>\n<p><span>35.214.56[.]2<\/span><\/p>\n<p><span>38.9.8[.]78<\/span><\/p>\n<p><span>52.3.8[.]25<\/span><\/p>\n<p><span>59.6.8[.]25<\/span><\/p>\n<p><span>209.19.37[.]184<\/span><\/p>\n<p>Email-\u0430\u0434\u0440\u0435\u0441\u0430<\/p>\n<p><span>fhtgbbwi@mail[.]ru<\/span><\/p>\n<p><span>nvjfnvjfnjf@mail[.]ru<\/span><\/p>\n<p><span>glen.morriss75@seznam[.]cz<\/span><\/p>\n<p><span>SunyaF@seznam[.]cz<\/span><\/p>\n<h2>\u0422\u0435\u0445\u043d\u0438\u043a\u0438 MITRE ATT&amp;CK<\/h2>\n<p>\u042d\u0442\u0430 \u0442\u0430\u0431\u043b\u0438\u0446\u0430 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0430 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/attack.mitre.org\/resources\/versions\/\"><em>\u0432\u0435\u0440\u0441\u0438\u0438 13<\/em><\/a> \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u0430 MITRE ATT&amp;CK.<\/p>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"643\">\n<thead>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u0422\u0430\u043a\u0442\u0438\u043a\u0430<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">ID<\/span><\/strong><\/p>\n<\/td>\n<td width=\"151\">\n<p><strong><span lang=\"EN-US\">\u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<td width=\"265\">\n<p><strong><span lang=\"EN-US\">\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u0420\u0430\u0437\u0432\u0435\u0434\u043a\u0430 (Reconnaissance)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1590\/005\"><em>T1590.005<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0421\u0431\u043e\u0440 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043e \u0441\u0435\u0442\u0438 \u0436\u0435\u0440\u0442\u0432\u044b: IP-\u0430\u0434\u0440\u0435\u0441\u0430<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u041e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b MoustachedBouncer \u0441\u043e\u0431\u0438\u0440\u0430\u043b\u0438 IP-\u0430\u0434\u0440\u0435\u0441\u0430 \u0438\u043b\u0438 \u0431\u043b\u043e\u043a\u0438 \u0430\u0434\u0440\u0435\u0441\u043e\u0432 \u0441\u0432\u043e\u0438\u0445 \u0446\u0435\u043b\u0435\u0439, \u0447\u0442\u043e\u0431\u044b \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0442\u0440\u0430\u0444\u0438\u043a \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043b\u044f \u044d\u0442\u0438\u0445 \u0430\u0434\u0440\u0435\u0441\u043e\u0432.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u041f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f (Initial Access)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1189\"><em>T1189<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f \u0447\u0435\u0440\u0435\u0437 \u0431\u0440\u0430\u0443\u0437\u0435\u0440 (Drive-by Compromise)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Disco \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u043f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u0441\u0430\u0439\u0442 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0439 Windows.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u0412\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 (Execution)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1204\/002\"><em>T1204.002<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0412\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u043c: \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0444\u0430\u0439\u043b<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Disco \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0440\u0443\u0447\u043d\u043e\u0433\u043e \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0436\u0435\u0440\u0442\u0432\u043e\u0439.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"2\" width=\"113\">\n<p><strong><span lang=\"EN-US\">\u0417\u0430\u043a\u0440\u0435\u043f\u043b\u0435\u043d\u0438\u0435 (Persistence)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1053\/005\"><em>T1053.005<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0449\u0438\u043a \u0437\u0430\u0434\u0430\u043d\u0438\u0439\/\u0417\u0430\u0434\u0430\u043d\u0438\u0435: \u041f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0449\u0438\u043a \u0437\u0430\u0434\u0430\u043d\u0438\u0439<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Disco \u0437\u0430\u043a\u0440\u0435\u043f\u043b\u044f\u0435\u0442\u0441\u044f \u043a\u0430\u043a \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u0430, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043a\u0430\u0436\u0434\u0443\u044e \u043c\u0438\u043d\u0443\u0442\u0443 \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b \u0438\u0437 \u00ab\u043f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u043e\u0433\u043e\u00bb SMB-\u0440\u0435\u0441\u0443\u0440\u0441\u0430.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1543\/003\"><em>T1543.003<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0438\u043b\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430: \u0421\u043b\u0443\u0436\u0431\u0430 Windows<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u0437\u0430\u043a\u0440\u0435\u043f\u043b\u044f\u0435\u0442\u0441\u044f \u043a\u0430\u043a <\/span><span><span lang=\"EN-US\">ServiceDll<\/span><\/span><span lang=\"EN-US\"> \u0441\u043b\u0443\u0436\u0431\u044b \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <\/span><span><span lang=\"EN-US\">WmdmPmSp<\/span><\/span><span lang=\"EN-US\">.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u041f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439 (Privilege Escalation)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1068\"><em>T1068<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u042d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f \u0434\u043b\u044f \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Disco \u0438\u043c\u0435\u0435\u0442 \u043f\u043b\u0430\u0433\u0438\u043d \u0434\u043b\u044f \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u044f \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0445 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439 CVE-2021-1732.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u041e\u0431\u0445\u043e\u0434 \u0437\u0430\u0449\u0438\u0442\u044b (Defense Evasion)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1140\/\"><em><span>T1140<\/span><\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f\/\u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u043b\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0421 2020 \u0433\u043e\u0434\u0430 NightClub \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0432\u043d\u0435\u0448\u043d\u0438\u0439 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b, \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 RSA.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"5\" width=\"113\">\n<p><strong><span lang=\"EN-US\">\u0421\u0431\u043e\u0440 \u0434\u0430\u043d\u043d\u044b\u0445 (Collection)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1005\"><em>T1005<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0414\u0430\u043d\u043d\u044b\u0435 \u0441 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u043a\u0440\u0430\u0434\u0435\u0442 \u043d\u0435\u0434\u0430\u0432\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u044b \u0441 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1025\"><em>T1025<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0414\u0430\u043d\u043d\u044b\u0435 \u0441\u043e \u0441\u044a\u0435\u043c\u043d\u044b\u0445 \u043d\u043e\u0441\u0438\u0442\u0435\u043b\u0435\u0439<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u043a\u0440\u0430\u0434\u0435\u0442 \u0444\u0430\u0439\u043b\u044b \u0441 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1056\/001\"><em>T1056.001<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u0445\u0432\u0430\u0442 \u0432\u0432\u043e\u0434\u0430: \u041a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440 (Keylogging)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u0438\u043c\u0435\u0435\u0442 \u043f\u043b\u0430\u0433\u0438\u043d \u0434\u043b\u044f \u0437\u0430\u043f\u0438\u0441\u0438 \u043d\u0430\u0436\u0430\u0442\u0438\u0439 \u043a\u043b\u0430\u0432\u0438\u0448.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1113\"><em>T1113<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u0445\u0432\u0430\u0442 \u044d\u043a\u0440\u0430\u043d\u0430 (Screen Capture)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u0438 Disco \u0438\u043c\u0435\u044e\u0442 \u043f\u043b\u0430\u0433\u0438\u043d \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u043e\u0432.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1123\/\"><em><span>T1123<\/span><\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u0445\u0432\u0430\u0442 \u0430\u0443\u0434\u0438\u043e (Audio Capture)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u0438\u043c\u0435\u0435\u0442 \u043f\u043b\u0430\u0433\u0438\u043d \u0434\u043b\u044f \u0437\u0430\u043f\u0438\u0441\u0438 \u0430\u0443\u0434\u0438\u043e.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"7\" width=\"113\">\n<p><strong><span lang=\"EN-US\">\u041a\u043e\u043c\u0430\u043d\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 (Command and Control)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1071\/002\"><em>T1071.002<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041f\u0440\u043e\u0442\u043e\u043a\u043e\u043b \u043f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u043e\u0433\u043e \u0443\u0440\u043e\u0432\u043d\u044f: \u041f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u044b \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0444\u0430\u0439\u043b\u043e\u0432 (File Transfer Protocols)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"PT-BR\">Disco \u043e\u0431\u0449\u0430\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b SMB.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1071\/003\"><em>T1071.003<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041f\u0440\u043e\u0442\u043e\u043a\u043e\u043b \u043f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u043e\u0433\u043e \u0443\u0440\u043e\u0432\u043d\u044f: \u041f\u043e\u0447\u0442\u043e\u0432\u044b\u0435 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u044b (Mail Protocols)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u043e\u0431\u0449\u0430\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b SMTP.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1071\/004\/\"><em><span>T1071.004<\/span><\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041f\u0440\u043e\u0442\u043e\u043a\u043e\u043b \u043f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u043e\u0433\u043e \u0443\u0440\u043e\u0432\u043d\u044f: DNS<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u041e\u0434\u0438\u043d \u0438\u0437 \u043f\u043b\u0430\u0433\u0438\u043d\u043e\u0432 NightClub \u2014 \u044d\u0442\u043e backdoor, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0431\u0449\u0430\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 DNS.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1132\/001\"><em>T1132.001<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0445: \u0421\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0435 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 (Standard Encoding)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0444\u0430\u0439\u043b\u044b, \u043f\u0440\u0438\u043a\u0440\u0435\u043f\u043b\u0435\u043d\u043d\u044b\u0435 \u043a \u043f\u0438\u0441\u044c\u043c\u0430\u043c, \u0432 base64.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1132\/002\"><em>T1132.002<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0445: \u041d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0435 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 (Non-Standard Encoding)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0438 \u043e\u0442\u0432\u0435\u0442\u044b, \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u044b\u0435 \u0447\u0435\u0440\u0435\u0437 \u0441\u0432\u043e\u0439 DNS C&amp;C \u043a\u0430\u043d\u0430\u043b, \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0444\u043e\u0440\u043c\u044b base64.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1573\/001\/\"><em><span>T1573.001<\/span><\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043d\u0430\u043b: \u0421\u0438\u043c\u043c\u0435\u0442\u0440\u0438\u0447\u043d\u0430\u044f \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u044f (Symmetric Cryptography)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u043f\u043b\u0430\u0433\u0438\u043d\u044b \u0432 \u0432\u0438\u0434\u0435 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b, \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c AES-CBC.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1557\"><em>T1557<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0410\u0442\u0430\u043a\u0430 \u00ab\u0447\u0435\u043b\u043e\u0432\u0435\u043a \u043f\u043e\u0441\u0435\u0440\u0435\u0434\u0438\u043d\u0435\u00bb (Adversary-in-the-Middle)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">MoustachedBouncer \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u043b AitM \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430, \u0447\u0442\u043e\u0431\u044b \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0446\u0435\u043b\u0438 \u043d\u0430 \u043f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u0443\u044e \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0439 Windows. \u0422\u0430\u043a\u0436\u0435 \u043e\u043d\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 AitM \u043f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 SMB \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0441 \u00ab\u043f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u044b\u0445\u00bb \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u041a\u0440\u0430\u0436\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 (Exfiltration)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1041\"><em>T1041<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041a\u0440\u0430\u0436\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u0447\u0435\u0440\u0435\u0437 C2 \u043a\u0430\u043d\u0430\u043b (Exfiltration Over C2 Channel)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">NightClub \u0438 Disco \u043a\u0440\u0430\u0434\u0443\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u0447\u0435\u0440\u0435\u0437 C&amp;C \u043a\u0430\u043d\u0430\u043b (SMTP, SMB \u0438 DNS).<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u0412\u043e\u0437\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 (Impact)<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1565\/002\"><em>T1565.002<\/em><\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041c\u0430\u043d\u0438\u043f\u0443\u043b\u044f\u0446\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u043c\u0438: \u041c\u0430\u043d\u0438\u043f\u0443\u043b\u044f\u0446\u0438\u044f \u043f\u0435\u0440\u0435\u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 (Transmitted Data Manipulation)<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">MoustachedBouncer \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043b HTTP-\u0442\u0440\u0430\u0444\u0438\u043a \u0441 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 IP-\u0430\u0434\u0440\u0435\u0441\u043e\u0432 \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430, \u0447\u0442\u043e\u0431\u044b \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0446\u0435\u043b\u0438 \u043d\u0430 \u043f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u0443\u044e \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0439 Windows.<\/span><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><a href=\"https:\/\/www.eset.com\/int\/business\/services\/threat-intelligence\/?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=wls-research&amp;utm_content=moustachedbouncer-espionage-against-foreign-diplomats-in-belarus\"><img loading=\"lazy\" decoding=\"async\" alt=\"\" height=\"296\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2022\/12\/eset-threat-intelligence.png\" width=\"915\"><\/a><\/p>\n<p class=\"wls-source\"><a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/moustachedbouncer-espionage-against-foreign-diplomats-in-belarus\/\" rel=\"nofollow noopener\" target=\"_blank\">\u0427\u0438\u0442\u0430\u0442\u044c \u043f\u043e\u043b\u043d\u044b\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u043d\u0430 WeLiveSecurity \u2192<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u0414\u043e\u043b\u0433\u043e\u0441\u0440\u043e\u0447\u043d\u044b\u0439 \u0448\u043f\u0438\u043e\u043d\u0430\u0436 \u043f\u0440\u043e\u0442\u0438\u0432 \u0434\u0438\u043f\u043b\u043e\u043c\u0430\u0442\u043e\u0432 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u043e\u0432 C&#038;C \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b, \u043c\u043e\u0434\u0443\u043b\u044c\u043d\u044b\u0445 \u0431\u044d\u043a\u0434\u043e\u0440\u043e\u0432 \u043d\u0430 C++ \u0438 \u0430\u0442\u0430\u043a \u00ab\u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043f\u043e\u0441\u0435\u0440\u0435\u0434\u0438\u043d\u0435\u00bb (AitM)\u2026 \u041f\u043e\u0445\u043e\u0436\u0435 \u043d\u0430 \u043f\u0435\u0447\u0430\u043b\u044c\u043d\u043e \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0443\u044e Turla? \u041f\u043e\u0434\u0443\u043c\u0430\u0439\u0442\u0435 \u0435\u0449\u0435 \u0440\u0430\u0437!<\/p>\n","protected":false},"author":5,"featured_media":8430,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2891],"tags":[],"class_list":["post-8432","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-issledovaniya-eset"],"acf":[],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts\/8432","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/comments?post=8432"}],"version-history":[{"count":0,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts\/8432\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/media\/8430"}],"wp:attachment":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/media?parent=8432"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/categories?post=8432"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/tags?post=8432"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}