{"id":8464,"date":"2023-09-21T12:00:00","date_gmt":"2023-09-21T09:00:00","guid":{"rendered":"https:\/\/blog.eset.ee\/et\/2023\/09\/21\/oilrig-kosmicheskie-polyoty-i-sochnyj-miks-ta-zhe-staraya-vyshka-novye-burovye\/"},"modified":"2023-09-21T12:00:00","modified_gmt":"2023-09-21T09:00:00","slug":"oilrig-kosmicheskie-polyoty-i-sochnyj-miks-ta-zhe-staraya-vyshka-novye-burovye","status":"publish","type":"post","link":"https:\/\/blog.eset.ee\/et\/ru\/2023\/09\/21\/oilrig-kosmicheskie-polyoty-i-sochnyj-miks-ta-zhe-staraya-vyshka-novye-burovye\/","title":{"rendered":"OilRig: \u043a\u043e\u0441\u043c\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043f\u043e\u043b\u0451\u0442\u044b \u0438 \u0441\u043e\u0447\u043d\u044b\u0439 \u043c\u0438\u043a\u0441 \u2014 \u0442\u0430 \u0436\u0435 \u0441\u0442\u0430\u0440\u0430\u044f \u0432\u044b\u0448\u043a\u0430, \u043d\u043e\u0432\u044b\u0435 \u0431\u0443\u0440\u043e\u0432\u044b\u0435"},"content":{"rendered":"<blockquote>\n<div>\u041e\u0411\u041d\u041e\u0412\u041b\u0415\u041d\u0418\u0415 (5 \u0438\u044e\u043d\u044f 2025 \u0433.): \u041f\u043e\u0441\u043b\u0435 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438 \u043c\u044b \u043e\u0431\u043d\u043e\u0432\u0438\u043b\u0438 \u043d\u0430\u0448\u0438 \u0434\u0430\u043d\u043d\u044b\u0435, \u0447\u0442\u043e\u0431\u044b \u043b\u0443\u0447\u0448\u0435 \u043e\u0442\u0440\u0430\u0437\u0438\u0442\u044c \u043f\u043e\u043b\u043d\u044b\u0439 \u0441\u043f\u0435\u043a\u0442\u0440 \u0438 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439, \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0445 \u0433\u0440\u0443\u043f\u043f\u043e\u0439 OilRig APT. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u043c\u044b \u0442\u0435\u043f\u0435\u0440\u044c \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u043c OilRig \u043a\u0430\u043a \u043c\u0430\u0442\u0435\u0440\u0438\u043d\u0441\u043a\u0443\u044e \u0433\u0440\u0443\u043f\u043f\u0443 \u0441 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u043c\u0438 \u043f\u043e\u0434\u0433\u0440\u0443\u043f\u043f\u0430\u043c\u0438. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u044f, \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0435 \u0432 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435, \u043e\u0442\u043d\u043e\u0441\u044f\u0442\u0441\u044f \u043a \u043f\u043e\u0434\u0433\u0440\u0443\u043f\u043f\u0435 OilRig \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c Lyceum.<\/div>\n<div>\n<\/div>\n<div>Lyceum, \u0442\u0430\u043a\u0436\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0430\u044f \u043a\u0430\u043a HEXANE \u0438\u043b\u0438 Storm-0133, \u2014 \u044d\u0442\u043e \u043f\u0440\u043e\u0434\u0432\u0438\u043d\u0443\u0442\u0430\u044f \u0433\u0440\u0443\u043f\u043f\u0430 \u0443\u0433\u0440\u043e\u0437, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043d\u0430 \u0430\u0442\u0430\u043a\u0430\u0445 \u043d\u0430 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u0433\u043e\u0441\u0443\u0434\u0430\u0440\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435 \u0438 \u043c\u0435\u0441\u0442\u043d\u044b\u0435 \u043e\u0440\u0433\u0430\u043d\u044b \u0432\u043b\u0430\u0441\u0442\u0438, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0437\u0434\u0440\u0430\u0432\u043e\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f. \u041e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u0441\u0432\u044f\u0437\u044b\u0432\u0430\u0435\u043c \u0441 Lyceum, \u0432\u043a\u043b\u044e\u0447\u0430\u044e\u0442 <a href=\"https:\/\/vblocalhost.com\/uploads\/VB2021-Kayal-etal.pdf\">DanBot<\/a>, \u0431\u044d\u043a\u0434\u043e\u0440\u044b <a href=\"https:\/\/web.archive.org\/web\/20230129145433\/https:\/www.prevailion.com\/latest-targets-of-cyber-group-lyceum\/\">Shark, Milan<\/a> \u0438 Marlin, <a href=\"index.html\">Solar \u0438 Mango<\/a>, <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/en\/papers\/threat-reports\/eset-apt-activity-report-q2-2023-q3-2023.pdf\">OilForceGTX<\/a> \u0438 <a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/oilrig-persistent-attacks-cloud-service-powered-downloaders\/\">\u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0438<\/a>, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u0435 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435 \u043e\u0431\u043b\u0430\u0447\u043d\u044b\u0435 \u0441\u0435\u0440\u0432\u0438\u0441\u044b \u0434\u043b\u044f C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438.<\/div>\n<\/blockquote>\n<p>\u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 ESET \u043f\u0440\u043e\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043b\u0438 \u0434\u0432\u0435 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0433\u0440\u0443\u043f\u043f\u044b OilRig APT: Outer Space (2021) \u0438 Juicy Mix (2022). \u041e\u0431\u0435 \u044d\u0442\u0438 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430 \u0431\u044b\u043b\u0438 \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u044b \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0430 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438, \u0447\u0442\u043e \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0444\u043e\u043a\u0443\u0441\u0443 \u0433\u0440\u0443\u043f\u043f\u044b \u043d\u0430 \u0411\u043b\u0438\u0436\u043d\u0435\u043c \u0412\u043e\u0441\u0442\u043e\u043a\u0435, \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u043e\u0434\u0438\u043d \u0438 \u0442\u043e\u0442 \u0436\u0435 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439: \u0441\u043d\u0430\u0447\u0430\u043b\u0430 OilRig \u0432\u0437\u043b\u0430\u043c\u044b\u0432\u0430\u043b\u0430 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0439 \u0432\u0435\u0431-\u0441\u0430\u0439\u0442 \u0434\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0430, \u0430 \u0437\u0430\u0442\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u044b \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u043d\u0430 C#\/.NET \u0441\u0432\u043e\u0438\u043c \u0436\u0435\u0440\u0442\u0432\u0430\u043c, \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u044f \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0434\u043b\u044f \u043f\u043e\u0441\u0442\u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f, \u0432 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0441 \u0446\u0435\u043b\u0435\u0432\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c.<\/p>\n<p>\u0412 \u0441\u0432\u043e\u0435\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Outer Space OilRig \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 \u043f\u0440\u043e\u0441\u0442\u043e\u0439, \u0440\u0430\u043d\u0435\u0435 \u043d\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 \u043d\u0430 C#\/.NET, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 Solar, \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u043d\u043e\u0432\u044b\u043c \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u043e\u043c SampleCheck5000 (\u0438\u043b\u0438 SC5k), \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u043c API Microsoft Office Exchange Web Services \u0434\u043b\u044f C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438. \u0414\u043b\u044f \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Juicy Mix \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0443\u043b\u0443\u0447\u0448\u0438\u043b\u0438 Solar, \u0441\u043e\u0437\u0434\u0430\u0432 \u0431\u044d\u043a\u0434\u043e\u0440 Mango, \u043e\u0431\u043b\u0430\u0434\u0430\u044e\u0449\u0438\u0439 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u043c\u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044f\u043c\u0438 \u0438 \u043c\u0435\u0442\u043e\u0434\u0430\u043c\u0438 \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438. \u041f\u043e\u043c\u0438\u043c\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u043d\u0430\u0431\u043e\u0440\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043c\u044b \u0442\u0430\u043a\u0436\u0435 \u0443\u0432\u0435\u0434\u043e\u043c\u0438\u043b\u0438 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0439 CERT \u043e \u0432\u0437\u043b\u043e\u043c\u0430\u043d\u043d\u044b\u0445 \u0432\u0435\u0431-\u0441\u0430\u0439\u0442\u0430\u0445.<\/p>\n<blockquote>\n<div><strong>\u041a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043c\u043e\u043c\u0435\u043d\u0442\u044b \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438:<\/strong><\/div>\n<ul>\n<li>ESET \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043b \u0434\u0432\u0435 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 OilRig, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u043b\u0438 \u0432 \u0442\u0435\u0447\u0435\u043d\u0438\u0435 2021 (Outer Space) \u0438 2022 (Juicy Mix) \u0433\u043e\u0434\u043e\u0432.<\/li>\n<li>\u041e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0430\u0446\u0435\u043b\u0438\u0432\u0430\u043b\u0438\u0441\u044c \u043d\u0430 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0438 \u0432\u0437\u043b\u0430\u043c\u044b\u0432\u0430\u043b\u0438 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0435 \u0432\u0435\u0431-\u0441\u0430\u0439\u0442\u044b \u0434\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0432 \u0441\u0432\u043e\u0438\u0445 C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u044f\u0445.<\/li>\n<li>\u0412 \u043a\u0430\u0436\u0434\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u043e\u043d\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u043d\u043e\u0432\u044b\u0439, \u0440\u0430\u043d\u0435\u0435 \u043d\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 \u043f\u0435\u0440\u0432\u043e\u0433\u043e \u044d\u0442\u0430\u043f\u0430 \u043d\u0430 C#\/.NET: Solar \u0432 Outer Space, \u0437\u0430\u0442\u0435\u043c \u0435\u0433\u043e \u043f\u0440\u0435\u0435\u043c\u043d\u0438\u043a Mango \u0432 Juicy Mix.<\/li>\n<li>\u041e\u0431\u0430 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u0431\u044b\u043b\u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u044b VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430\u043c\u0438, \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u0435\u043c\u044b\u043c\u0438 \u0447\u0435\u0440\u0435\u0437 \u0446\u0435\u043b\u0435\u0432\u044b\u0435 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u0435 \u043f\u0438\u0441\u044c\u043c\u0430.<\/li>\n<li>\u0412 \u043e\u0431\u0435\u0438\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 \u0431\u044b\u043b \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442 \u0440\u044f\u0434 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u043f\u043e\u0441\u0442\u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f, \u0432 \u0447\u0430\u0441\u0442\u043d\u043e\u0441\u0442\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a SC5k, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u0439 API Microsoft Office Exchange Web Services \u0434\u043b\u044f C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438, \u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u043a\u0440\u0430\u0436\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438\u0437 Windows Credential Manager.<\/li>\n<\/ul>\n<\/blockquote>\n<p>OilRig, \u0442\u0430\u043a\u0436\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0430\u044f \u043a\u0430\u043a APT34, Lyceum \u0438\u043b\u0438 Siamesekitten, \u2014 \u044d\u0442\u043e \u0433\u0440\u0443\u043f\u043f\u0430 \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430, \u0430\u043a\u0442\u0438\u0432\u043d\u0430\u044f \u043a\u0430\u043a \u043c\u0438\u043d\u0438\u043c\u0443\u043c \u0441 2014 \u0433\u043e\u0434\u0430 \u0438, \u043a\u0430\u043a <a href=\"https:\/\/attack.mitre.org\/groups\/G0049\/\">\u043e\u0431\u0449\u0435\u043f\u0440\u0438\u043d\u044f\u0442\u043e \u0441\u0447\u0438\u0442\u0430\u0442\u044c<\/a>, \u0431\u0430\u0437\u0438\u0440\u0443\u044e\u0449\u0430\u044f\u0441\u044f \u0432 \u0418\u0440\u0430\u043d\u0435. \u0413\u0440\u0443\u043f\u043f\u0430 \u043d\u0430\u0446\u0435\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430 \u0441\u0442\u0440\u0430\u043d \u0411\u043b\u0438\u0436\u043d\u0435\u0433\u043e \u0412\u043e\u0441\u0442\u043e\u043a\u0430 \u0438 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0431\u0438\u0437\u043d\u0435\u0441-\u0441\u0435\u0433\u043c\u0435\u043d\u0442\u044b, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u0445\u0438\u043c\u0438\u0447\u0435\u0441\u043a\u0443\u044e, \u044d\u043d\u0435\u0440\u0433\u0435\u0442\u0438\u0447\u0435\u0441\u043a\u0443\u044e, \u0444\u0438\u043d\u0430\u043d\u0441\u043e\u0432\u0443\u044e \u0438 \u0442\u0435\u043b\u0435\u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u043e\u043d\u043d\u0443\u044e \u043e\u0442\u0440\u0430\u0441\u043b\u0438. OilRig \u043f\u0440\u043e\u0432\u0435\u043b\u0430 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e DNSpionage \u0432 <a href=\"https:\/\/blog.talosintelligence.com\/2018\/11\/dnspionage-campaign-targets-middle-east.html\">2018<\/a> \u0438 <a href=\"https:\/\/blog.talosintelligence.com\/2019\/04\/dnspionage-brings-out-karkoff.html\">2019<\/a> \u0433\u043e\u0434\u0430\u0445, \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u043d\u0443\u044e \u043d\u0430 \u0436\u0435\u0440\u0442\u0432 \u0432 \u041b\u0438\u0432\u0430\u043d\u0435 \u0438 \u041e\u0431\u044a\u0435\u0434\u0438\u043d\u0435\u043d\u043d\u044b\u0445 \u0410\u0440\u0430\u0431\u0441\u043a\u0438\u0445 \u042d\u043c\u0438\u0440\u0430\u0442\u0430\u0445. \u0412 2019 \u0438 2020 \u0433\u043e\u0434\u0430\u0445 OilRig \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u043b\u0430 \u0430\u0442\u0430\u043a\u0438 \u0441 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0435\u0439 <a href=\"https:\/\/www.mandiant.com\/resources\/hard-pass-declining-apt34-invite-to-join-their-professional-network\">HardPass<\/a>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 LinkedIn \u0434\u043b\u044f \u043d\u0430\u0446\u0435\u043b\u0438\u0432\u0430\u043d\u0438\u044f \u043d\u0430 \u0431\u043b\u0438\u0436\u043d\u0435\u0432\u043e\u0441\u0442\u043e\u0447\u043d\u044b\u0445 \u0436\u0435\u0440\u0442\u0432 \u0432 \u044d\u043d\u0435\u0440\u0433\u0435\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u043c \u0438 \u0433\u043e\u0441\u0443\u0434\u0430\u0440\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u043c \u0441\u0435\u043a\u0442\u043e\u0440\u0430\u0445. \u0412 2021 \u0433\u043e\u0434\u0443 OilRig \u043e\u0431\u043d\u043e\u0432\u0438\u043b\u0430 \u0441\u0432\u043e\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 <a href=\"https:\/\/vblocalhost.com\/uploads\/VB2021-Kayal-etal.pdf\">DanBot<\/a> \u0438 \u043d\u0430\u0447\u0430\u043b\u0430 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u0442\u044c \u0431\u044d\u043a\u0434\u043e\u0440\u044b <a href=\"https:\/\/web.archive.org\/web\/20230129145433\/https:\/www.prevailion.com\/latest-targets-of-cyber-group-lyceum\/\">Shark, Milan<\/a> \u0438 Marlin, \u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u044b\u0435 \u0432 <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/en\/papers\/threat-reports\/eset_threat_report_t32021.pdf\">\u0432\u044b\u043f\u0443\u0441\u043a\u0435 T3 2021<\/a> ESET Threat Report.<\/p>\n<p>\u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u043c\u044b \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u043c \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u0431\u044d\u043a\u0434\u043e\u0440\u043e\u0432 Solar \u0438 Mango, VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 Mango, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u043f\u043e\u0441\u0442\u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f, \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u044b\u0445 \u0432 \u0445\u043e\u0434\u0435 \u044d\u0442\u0438\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0439.<\/p>\n<h2><a><\/a>\u0410\u0442\u0440\u0438\u0431\u0443\u0446\u0438\u044f<\/h2>\n<p>\u041f\u0435\u0440\u0432\u0430\u044f \u0437\u0430\u0446\u0435\u043f\u043a\u0430, \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0432\u0448\u0430\u044f \u043d\u0430\u043c \u0441\u0432\u044f\u0437\u0430\u0442\u044c \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e Outer Space \u0441 OilRig, \u2014 \u044d\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0442\u043e\u0433\u043e \u0436\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u0434\u0430\u043c\u043f\u043f\u0435\u0440\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 Chrome (\u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u043c\u043e\u0433\u043e \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438 ESET \u043f\u043e\u0434 \u0438\u043c\u0435\u043d\u0435\u043c MKG), \u0447\u0442\u043e \u0438 \u0432 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/en\/papers\/threat-reports\/eset_threat_report_t32021.pdf\">Out to Sea<\/a>. \u041c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438, \u043a\u0430\u043a \u0431\u044d\u043a\u0434\u043e\u0440 Solar \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043b \u0442\u043e\u0442 \u0436\u0435 \u043e\u0431\u0440\u0430\u0437\u0435\u0446 MKG, \u0447\u0442\u043e \u0438 \u0432 Out to Sea, \u043d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0436\u0435\u0440\u0442\u0432\u044b, \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u0434\u0432\u0443\u043c\u044f \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0430\u043c\u0438.<\/p>\n<p>\u041f\u043e\u043c\u0438\u043c\u043e \u0441\u043e\u0432\u043f\u0430\u0434\u0435\u043d\u0438\u0439 \u0432 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0445 \u0438 \u0446\u0435\u043b\u0435\u0432\u044b\u0445 \u0430\u0442\u0430\u043a\u0430\u0445, \u043c\u044b \u0442\u0430\u043a\u0436\u0435 \u0443\u0432\u0438\u0434\u0435\u043b\u0438 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u0441\u0445\u043e\u0434\u0441\u0442\u0432 \u043c\u0435\u0436\u0434\u0443 \u0431\u044d\u043a\u0434\u043e\u0440\u043e\u043c Solar \u0438 \u0431\u044d\u043a\u0434\u043e\u0440\u0430\u043c\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u043c\u0438 \u0432 Out to Sea, \u0432 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u043c \u043a\u0430\u0441\u0430\u044e\u0449\u0438\u0445\u0441\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0438 \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f: \u043a\u0430\u043a Solar, \u0442\u0430\u043a \u0438 Shark, \u0434\u0440\u0443\u0433\u043e\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 OilRig, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 URI \u0441 \u043f\u0440\u043e\u0441\u0442\u044b\u043c\u0438 \u0441\u0445\u0435\u043c\u0430\u043c\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0438 \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f \u0434\u043b\u044f \u0441\u0432\u044f\u0437\u0438 \u0441 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c, \u0441 \u00abd\u00bb \u0434\u043b\u044f \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f \u0438 \u00abu\u00bb \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438; \u043a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a SC5k \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u043e\u0434\u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0438 \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0438 \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f, \u043a\u0430\u043a \u0438 \u0434\u0440\u0443\u0433\u0438\u0435 \u0431\u044d\u043a\u0434\u043e\u0440\u044b OilRig, \u0430 \u0438\u043c\u0435\u043d\u043d\u043e ALMA, Shark, DanBot \u0438 Milan. \u042d\u0442\u0438 \u043d\u0430\u0445\u043e\u0434\u043a\u0438 \u0441\u043b\u0443\u0436\u0430\u0442 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0438\u043c \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u0435\u043c \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u0432\u0438\u043d\u043e\u0432\u043d\u0438\u043a \u0437\u0430 Outer Space \u2014 \u044d\u0442\u043e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e OilRig.<\/p>\n<p>\u0427\u0442\u043e \u043a\u0430\u0441\u0430\u0435\u0442\u0441\u044f \u0441\u0432\u044f\u0437\u0438 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Juicy Mix \u0441 OilRig, \u043f\u043e\u043c\u0438\u043c\u043e \u043d\u0430\u0446\u0435\u043b\u0438\u0432\u0430\u043d\u0438\u044f \u043d\u0430 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u2014 \u0447\u0442\u043e \u0442\u0438\u043f\u0438\u0447\u043d\u043e \u0434\u043b\u044f \u044d\u0442\u043e\u0439 \u0448\u043f\u0438\u043e\u043d\u0441\u043a\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u044b \u2014 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0442 \u0441\u043e\u0432\u043f\u0430\u0434\u0435\u043d\u0438\u044f \u0432 \u043a\u043e\u0434\u0435 \u043c\u0435\u0436\u0434\u0443 Mango, \u0431\u044d\u043a\u0434\u043e\u0440\u043e\u043c, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u043c \u0432 \u044d\u0442\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438, \u0438 Solar. \u0411\u043e\u043b\u0435\u0435 \u0442\u043e\u0433\u043e, \u043e\u0431\u0430 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u0431\u044b\u043b\u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u044b VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430\u043c\u0438 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043e\u0434\u043d\u043e\u0439 \u0438 \u0442\u043e\u0439 \u0436\u0435 \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u0442\u0440\u043e\u043a. \u0412\u044b\u0431\u043e\u0440 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u043f\u043e\u0441\u0442\u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 Juicy Mix, \u0442\u0430\u043a\u0436\u0435 \u043e\u0442\u0440\u0430\u0436\u0430\u0435\u0442 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0435 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 OilRig.<\/p>\n<h2><a><\/a>\u041e\u0431\u0437\u043e\u0440 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Outer Space<\/h2>\n<p>\u041d\u0430\u0437\u0432\u0430\u043d\u043d\u0430\u044f \u0442\u0430\u043a \u0438\u0437-\u0437\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0445\u0435\u043c\u044b \u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u044f, \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u043d\u0430 \u0430\u0441\u0442\u0440\u043e\u043d\u043e\u043c\u0438\u0438, \u0432 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u044f\u0445 \u0444\u0443\u043d\u043a\u0446\u0438\u0439 \u0438 \u0437\u0430\u0434\u0430\u0447, Outer Space \u2014 \u044d\u0442\u043e \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f OilRig 2021 \u0433\u043e\u0434\u0430. \u0412 \u044d\u0442\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0433\u0440\u0443\u043f\u043f\u0430 \u0432\u0437\u043b\u043e\u043c\u0430\u043b\u0430 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0439 \u0441\u0430\u0439\u0442 \u043f\u043e \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u043e\u043c \u0438 \u0432\u043f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 \u0435\u0433\u043e \u043a\u0430\u043a C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 \u0434\u043b\u044f \u0441\u0432\u043e\u0435\u0433\u043e \u0440\u0430\u043d\u0435\u0435 \u043d\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u043d\u0430 C#\/.NET, Solar. Solar \u2014 \u044d\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 \u0441 \u0431\u0430\u0437\u043e\u0432\u044b\u043c\u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u044f\u043c\u0438, \u0442\u0430\u043a\u0438\u043c\u0438 \u043a\u0430\u043a \u0447\u0442\u0435\u043d\u0438\u0435 \u0438 \u0437\u0430\u043f\u0438\u0441\u044c \u0441 \u0434\u0438\u0441\u043a\u0430, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0441\u0431\u043e\u0440 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438.<\/p>\n<p>\u0427\u0435\u0440\u0435\u0437 Solar \u0433\u0440\u0443\u043f\u043f\u0430 \u0437\u0430\u0442\u0435\u043c \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u043b\u0430 \u043d\u043e\u0432\u044b\u0439 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a SC5k, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 API Office Exchange Web Services \u0434\u043b\u044f \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f, \u043a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 <span>1<\/span>. \u0414\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0441 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0436\u0435\u0440\u0442\u0432\u044b OilRig \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 \u0434\u0430\u043c\u043f\u043f\u0435\u0440 \u0434\u0430\u043d\u043d\u044b\u0445 Chrome \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c MKG.<\/p>\n<figure><img decoding=\"async\" alt=\"Figure_01_OuterSpace_overview\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-01-outerspace-overview.png\" title=\"\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 1. \u041e\u0431\u0437\u043e\u0440 \u0446\u0435\u043f\u043e\u0447\u043a\u0438 \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f OilRig \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Outer Space<\/em><\/figcaption><\/figure>\n<h2><a><\/a>\u041e\u0431\u0437\u043e\u0440 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Juicy Mix<\/h2>\n<p>\u0412 2022 \u0433\u043e\u0434\u0443 OilRig \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043b\u0430 \u0435\u0449\u0435 \u043e\u0434\u043d\u0443 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e, \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u043d\u0443\u044e \u043d\u0430 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438, \u043d\u0430 \u044d\u0442\u043e\u0442 \u0440\u0430\u0437 \u0441 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u043c \u043d\u0430\u0431\u043e\u0440\u043e\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432. \u041c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e Juicy Mix \u0438\u0437-\u0437\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u043e\u0432\u043e\u0433\u043e \u0431\u044d\u043a\u0434\u043e\u0440\u0430 OilRig, Mango (\u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u0435\u0433\u043e \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0433\u043e \u0438\u043c\u0435\u043d\u0438 \u0441\u0431\u043e\u0440\u043a\u0438 \u0438 \u0438\u043c\u0435\u043d\u0438 \u0444\u0430\u0439\u043b\u0430 <span>Mango.exe<\/span>). \u0412 \u044d\u0442\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0432\u0437\u043b\u043e\u043c\u0430\u043b\u0438 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0439 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0439 \u043f\u043e\u0440\u0442\u0430\u043b \u0432\u0430\u043a\u0430\u043d\u0441\u0438\u0439 \u0434\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0432 C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u044f\u0445. \u0412\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0433\u0440\u0443\u043f\u043f\u044b \u0437\u0430\u0442\u0435\u043c \u0431\u044b\u043b\u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u044b \u043f\u0440\u043e\u0442\u0438\u0432 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0437\u0434\u0440\u0430\u0432\u043e\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f, \u0442\u0430\u043a\u0436\u0435 \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u043e\u0439 \u0432 \u0418\u0437\u0440\u0430\u0438\u043b\u0435.<\/p>\n<p>\u0411\u044d\u043a\u0434\u043e\u0440 \u043f\u0435\u0440\u0432\u043e\u0433\u043e \u044d\u0442\u0430\u043f\u0430 Mango \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u0440\u0435\u0435\u043c\u043d\u0438\u043a\u043e\u043c Solar, \u0442\u0430\u043a\u0436\u0435 \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u043d\u0430 C#\/.NET, \u0441 \u0437\u0430\u043c\u0435\u0442\u043d\u044b\u043c\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f\u043c\u0438, \u0432\u043a\u043b\u044e\u0447\u0430\u044e\u0449\u0438\u043c\u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0430\u0442\u0438\u0432\u043d\u044b\u0445 API \u0438 \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0439 \u043a\u043e\u0434 \u0434\u043b\u044f \u0443\u043a\u043b\u043e\u043d\u0435\u043d\u0438\u044f \u043e\u0442 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f.<\/p>\n<p>\u0412\u043c\u0435\u0441\u0442\u0435 \u0441 Mango \u043c\u044b \u0442\u0430\u043a\u0436\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0434\u0432\u0430 \u0440\u0430\u043d\u0435\u0435 \u043d\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0434\u0430\u043c\u043f\u043f\u0435\u0440\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0445 \u0434\u043b\u044f \u043a\u0440\u0430\u0436\u0438 \u043a\u0443\u043a\u0438, \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u043e\u0432 \u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438\u0437 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u0432 Chrome \u0438 Edge, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0441\u0442\u0438\u043b\u0435\u0440 Windows Credential Manager, \u0432\u0441\u0435 \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u043c\u044b \u043e\u0442\u043d\u043e\u0441\u0438\u043c \u043a OilRig. \u042d\u0442\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u043f\u0440\u043e\u0442\u0438\u0432 \u0442\u043e\u0439 \u0436\u0435 \u0446\u0435\u043b\u0438, \u0447\u0442\u043e \u0438 Mango, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043f\u0440\u043e\u0442\u0438\u0432 \u0434\u0440\u0443\u0433\u0438\u0445 \u0432\u0437\u043b\u043e\u043c\u0430\u043d\u043d\u044b\u0445 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0445 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0439 \u0432 \u0442\u0435\u0447\u0435\u043d\u0438\u0435 2021 \u0438 2022 \u0433\u043e\u0434\u043e\u0432. \u0420\u0438\u0441\u0443\u043d\u043e\u043a <span>2<\/span> \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043e\u0431\u0437\u043e\u0440 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0432 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Juicy Mix.<\/p>\n<figure><img decoding=\"async\" alt=\"Figure_01_OuterSpace_overview\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-01-outerspace-overview-1.png\" title=\"\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 2. \u041e\u0431\u0437\u043e\u0440 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 OilRig Juicy Mix<\/em><\/figcaption><\/figure>\n<h2><span>\u0422\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437<\/span><\/h2>\n<p>\u0412 \u044d\u0442\u043e\u043c \u0440\u0430\u0437\u0434\u0435\u043b\u0435 \u043c\u044b \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u043c \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u0431\u044d\u043a\u0434\u043e\u0440\u043e\u0432 Solar \u0438 Mango, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430 SC5k, \u0438 \u0434\u0440\u0443\u0433\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u044b\u043b\u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u044b \u043d\u0430 \u0446\u0435\u043b\u0435\u0432\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445 \u0432 \u044d\u0442\u0438\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445.<\/p>\n<h3><a><\/a>VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u044b<\/h3>\n<p>\u0414\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0436\u0435\u0440\u0442\u0432\u044b \u0432 \u043e\u0431\u0435\u0438\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u044b Visual Basic Script (VBS), \u043a\u043e\u0442\u043e\u0440\u044b\u0435, \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u043b\u0438\u0441\u044c \u0447\u0435\u0440\u0435\u0437 \u0446\u0435\u043b\u0435\u0432\u044b\u0435 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u0435 \u043f\u0438\u0441\u044c\u043c\u0430. \u041d\u0430\u0448 \u0430\u043d\u0430\u043b\u0438\u0437 \u043d\u0438\u0436\u0435 \u0444\u043e\u043a\u0443\u0441\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043d\u0430 VBS \u0441\u043a\u0440\u0438\u043f\u0442\u0435, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 Mango (SHA-1: <span>3699B67BF4E381847BF98528F8CE2B966231F01A<\/span>); \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u0434\u0440\u043e\u043f\u043f\u0435\u0440 Solar \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u0445\u043e\u0436.<\/p>\n<p>\u041d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430 \u2014 \u0434\u043e\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 Mango, \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0437\u0430\u0434\u0430\u0447\u0443 \u0434\u043b\u044f \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u043f\u0435\u0440\u0441\u0438\u0441\u0442\u0435\u043d\u0442\u043d\u043e\u0441\u0442\u0438 \u0438 \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044e \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0435. \u0412\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 \u0432\u0438\u0434\u0435 \u0441\u0435\u0440\u0438\u0438 \u043f\u043e\u0434\u0441\u0442\u0440\u043e\u043a base64, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043a\u043e\u043d\u043a\u0430\u0442\u0435\u043d\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0438 \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0438\u0437 base64. \u041a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 <span>3<\/span>, \u0441\u043a\u0440\u0438\u043f\u0442 \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u0440\u043e\u0441\u0442\u0443\u044e \u0442\u0435\u0445\u043d\u0438\u043a\u0443 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u0442\u0440\u043e\u043a, \u0433\u0434\u0435 \u0441\u0442\u0440\u043e\u043a\u0438 \u0441\u043e\u0431\u0438\u0440\u0430\u044e\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0430\u0440\u0438\u0444\u043c\u0435\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0439 \u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <span>Chr<\/span>.<\/p>\n<figure><img decoding=\"async\" alt=\"Figure_03_Mango_string_obfuscation\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-03-mango-string-obfuscation.png\" title=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 3. \u0422\u0435\u0445\u043d\u0438\u043a\u0430 \u0434\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u0442\u0440\u043e\u043a, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0430\u044f VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u043e\u043c OilRig \u0434\u043b\u044f Mango<\/em><\/figcaption><\/figure>\n<p>On top of that, Mango\u2019s VBS dropper adds another type of string obfuscation and code to set up persistence and register with the C&amp;C server. As shown in Figure <span>4<\/span>, to deobfuscate some strings, the script replaces any characters in the set <span>#*+-_)(}{@$%^&amp;<\/span> with <span>0<\/span>, then divides the string into three-digit numbers that are then converted into ASCII characters using the <span>Chr<\/span><code><br \/>\n<\/code>function. For example, the string <span>116110101109117+99111$68+77{79$68}46-50108109120115}77<\/span> translates to <span>Msxml2.DOMDocument<\/span>.<\/p>\n<figure><img decoding=\"async\" alt=\"Figure_03_Mango_string_obfuscation\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-03-mango-string-obfuscation-1.png\" title=\"\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 4. \u0424\u0443\u043d\u043a\u0446\u0438\u044f \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u0442\u0440\u043e\u043a, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0430\u044f VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u043e\u043c Mango<\/em><\/figcaption><\/figure>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e \u043a\u0430\u043a \u0431\u044d\u043a\u0434\u043e\u0440 \u0432\u043d\u0435\u0434\u0440\u0435\u043d \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0443, \u0434\u0440\u043e\u043f\u043f\u0435\u0440 \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 Mango (\u0438\u043b\u0438 Solar, \u0432 \u0434\u0440\u0443\u0433\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0438) \u043a\u0430\u0436\u0434\u044b\u0435 14 \u043c\u0438\u043d\u0443\u0442. \u041d\u0430\u043a\u043e\u043d\u0435\u0446, \u0441\u043a\u0440\u0438\u043f\u0442 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0438\u043c\u044f \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0430, \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0432 base64, \u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e\u043c POST-\u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u0434\u043b\u044f \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u043d\u0430 \u0435\u0433\u043e C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0435.<\/p>\n<h3><a><\/a>\u0411\u044d\u043a\u0434\u043e\u0440 Solar<\/h3>\n<p>Solar \u2014 \u044d\u0442\u043e \u0431\u044d\u043a\u0434\u043e\u0440, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0432 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 OilRig Outer Space. \u041e\u0431\u043b\u0430\u0434\u0430\u044f \u0431\u0430\u0437\u043e\u0432\u044b\u043c\u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u044f\u043c\u0438, \u044d\u0442\u043e\u0442 \u0431\u044d\u043a\u0434\u043e\u0440 \u043c\u043e\u0436\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f, \u0441\u0440\u0435\u0434\u0438 \u043f\u0440\u043e\u0447\u0435\u0433\u043e, \u0434\u043b\u044f \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u043e\u0432, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0434\u043b\u044f \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432.<\/p>\n<p>\u041c\u044b \u0432\u044b\u0431\u0440\u0430\u043b\u0438 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 Solar \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u0438\u043c\u0435\u043d\u0438 \u0444\u0430\u0439\u043b\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e OilRig, <span>Solar.exe<\/span>. \u042d\u0442\u043e \u043f\u043e\u0434\u0445\u043e\u0434\u044f\u0449\u0435\u0435 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0431\u044d\u043a\u0434\u043e\u0440 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0441\u0445\u0435\u043c\u0443 \u0430\u0441\u0442\u0440\u043e\u043d\u043e\u043c\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0439 \u0434\u043b\u044f \u0441\u0432\u043e\u0438\u0445 \u0438\u043c\u0435\u043d \u0444\u0443\u043d\u043a\u0446\u0438\u0439 \u0438 \u0437\u0430\u0434\u0430\u0447, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0445 \u0432\u043e \u0432\u0441\u0435\u043c \u0431\u0438\u043d\u0430\u0440\u043d\u043e\u043c \u0444\u0430\u0439\u043b\u0435 (<span>Mercury<\/span>, <span>Venus<\/span>, <span>Mars<\/span>, <span>Earth<\/span> \u0438 <span>Jupiter<\/span>).<\/p>\n<p>Solar \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435, \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u044f \u0448\u0430\u0433\u0438, \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 <span>5<\/span>.<\/p>\n<figure><img decoding=\"async\" alt=\"Figure_03_Mango_string_obfuscation\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-03-mango-string-obfuscation-1-2.png\" title=\"\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 5. \u041d\u0430\u0447\u0430\u043b\u044c\u043d\u044b\u0439 \u043f\u043e\u0442\u043e\u043a \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f Solar<\/em><\/figcaption><\/figure>\n<p>The backdoor creates two tasks, <span>Earth<\/span><code><br \/>\n<\/code>and <span>Venus<\/span>, that run in memory. There is no stop function for either of the two tasks, so they will run indefinitely. <span>Earth<\/span><code><br \/>\n<\/code>is scheduled to run every 30 seconds and <span>Venus<\/span><code><br \/>\n<\/code>is set to run every 40 seconds.<\/p>\n<p><span>Earth<\/span> \u2014 \u043e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u0430, \u043e\u0442\u0432\u0435\u0447\u0430\u044e\u0449\u0430\u044f \u0437\u0430 \u0431\u043e\u043b\u044c\u0448\u0443\u044e \u0447\u0430\u0441\u0442\u044c \u0444\u0443\u043d\u043a\u0446\u0438\u0439 Solar. \u041e\u043d\u0430 \u043e\u0431\u043c\u0435\u043d\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0441 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <span>MercuryToSun<\/span>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0431\u0430\u0437\u043e\u0432\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0438 \u0432\u0435\u0440\u0441\u0438\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440, \u0430 \u0437\u0430\u0442\u0435\u043c \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u043e\u0442\u0432\u0435\u0442 \u0441\u0435\u0440\u0432\u0435\u0440\u0430. <span>Earth<\/span> \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e:<\/p>\n<ul>\n<li>The string <span>(@) &lt;system hostname&gt;<\/span>; the whole string is encrypted.<\/li>\n<li>The string <span>1.0.0.0<\/span>, encrypted (possibly a version number).<\/li>\n<li>The string <span>30000<\/span>, encrypted (possibly the scheduled runtime of <span>Earth<\/span><code><br \/>\n<\/code>in milliseconds).<\/li>\n<\/ul>\n<p>Encryption and decryption are implemented in functions named <span>JupiterE<\/span><code><br \/>\n<\/code>and <span>JupiterD<\/span>, respectively. Both of them call a function named <span>JupiterX<\/span>, which implements an XOR loop as shown in Figure <span>6<\/span>.<\/p>\n<figure><img decoding=\"async\" alt=\"Figure_03_Mango_string_obfuscation\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-03-mango-string-obfuscation.jpeg\" title=\"\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 6. \u0426\u0438\u043a\u043b <\/em><span>for <\/span><em>\u0432 JupiterX, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 \u0434\u043b\u044f \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u0434\u0435\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445<\/em><\/figcaption><\/figure>\n<p>\u041a\u043b\u044e\u0447 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0438\u0437 \u0433\u043b\u043e\u0431\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u043e\u0432\u043e\u0439 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439, \u0437\u0430\u0448\u0438\u0442\u043e\u0439 \u0432 \u043a\u043e\u0434, <span>6sEj7*0B7#7<\/span>, \u0438 <a href=\"https:\/\/csrc.nist.gov\/glossary\/term\/nonce\">nonce<\/a>: \u0432 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435, \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u0430\u044f \u0448\u0435\u0441\u0442\u043d\u0430\u0434\u0446\u0430\u0442\u0435\u0440\u0438\u0447\u043d\u0430\u044f \u0441\u0442\u0440\u043e\u043a\u0430 \u0434\u043b\u0438\u043d\u043e\u0439 \u043e\u0442 2 \u0434\u043e 24 \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432. \u041f\u043e\u0441\u043b\u0435 XOR-\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0435 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 base64.<\/p>\n<p>\u0412\u0435\u0431-\u0441\u0435\u0440\u0432\u0435\u0440 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u043e\u0439 \u043a\u0430\u0434\u0440\u043e\u0432\u043e\u0439 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 OilRig \u0432\u0437\u043b\u043e\u043c\u0430\u043b\u0430 \u043d\u0435\u0437\u0430\u0434\u043e\u043b\u0433\u043e \u0434\u043e \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f Solar, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0430:<\/p>\n<p><span>http:\/\/organization.co[.]il\/project\/templates\/office\/template.aspx?rt=d&amp;sun=&lt;encrypted_MachineGuid&gt;&amp;rn=&lt;encryption_nonce&gt;<\/span><\/p>\n<p>\u041f\u0435\u0440\u0435\u0434 \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u0438\u0435\u043c \u0432 URI, nonce \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0448\u0438\u0444\u0440\u0443\u0435\u0442\u0441\u044f, \u0430 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0441\u0442\u0440\u043e\u043a\u043e\u0432\u043e\u0433\u043e \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430 <span>rt<\/span> \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0432 <span>d<\/span>, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0434\u043b\u044f \u00abdownload\u00bb (\u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u0435).<\/p>\n<p>The last step of the <span>MercuryToSun<\/span><code><br \/>\n<\/code>function is to process a response from the C&amp;C server. It does so by retrieving a substring of the response, which is found between the characters <span>QQ@<\/span> and <span>@kk<\/span>. This response is a string of instructions separated by asterisks (<span>*<\/span>) that is processed into an array. <span>Earth<\/span><code><br \/>\n<\/code>then carries out the backdoor commands, which include downloading additional payloads from the server, listing files on the victim\u2019s system, and running specific executables.<\/p>\n<p>Command output is then gzip compressed using the function <span>Neptune<\/span><code><br \/>\n<\/code>and encrypted with the same encryption key and a new nonce. Then the results are uploaded to the C&amp;C server, thus:<\/p>\n<p><span>http:\/\/organization.co[.]il\/project\/templates\/office\/template.aspx?rt=u&amp;sun=&lt;MachineGuid&gt;&amp;rn=&lt;new_nonce&gt;<\/span><\/p>\n<p><span>MachineGuid<\/span> and the new nonce are encrypted with the <span>JupiterE<\/span><code><br \/>\n<\/code>function, and here the value of <span>rt<\/span> is set to <span>u<\/span>, likely for \u201cupload\u201d.<\/p>\n<p><span>Venus<\/span>, \u0434\u0440\u0443\u0433\u0430\u044f \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0434\u0430\u043d\u043d\u044b\u0445. \u042d\u0442\u0430 \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u0430 \u043a\u043e\u043f\u0438\u0440\u0443\u0435\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u0437 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430 (\u0442\u0430\u043a\u0436\u0435 \u043d\u0430\u0437\u0432\u0430\u043d\u043d\u043e\u0433\u043e <span>Venus<\/span>) \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440. \u042d\u0442\u0438 \u0444\u0430\u0439\u043b\u044b, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u043f\u043e\u043c\u0435\u0449\u0430\u044e\u0442\u0441\u044f \u0441\u044e\u0434\u0430 \u043a\u0430\u043a\u0438\u043c-\u0442\u043e \u0434\u0440\u0443\u0433\u0438\u043c, \u043f\u043e\u043a\u0430 \u043d\u0435 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c OilRig. \u041f\u043e\u0441\u043b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0444\u0430\u0439\u043b\u0430 \u0437\u0430\u0434\u0430\u0447\u0430 \u0443\u0434\u0430\u043b\u044f\u0435\u0442 \u0435\u0433\u043e \u0441 \u0434\u0438\u0441\u043a\u0430.<\/p>\n<h3><a><\/a>\u0411\u044d\u043a\u0434\u043e\u0440 Mango<\/h3>\n<p>\u0414\u043b\u044f \u0441\u0432\u043e\u0435\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Juicy Mix OilRig \u043f\u0435\u0440\u0435\u0448\u043b\u0430 \u043e\u0442 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 Solar \u043a Mango. \u041e\u043d \u0438\u043c\u0435\u0435\u0442 \u0441\u0445\u043e\u0436\u0438\u0439 \u0440\u0430\u0431\u043e\u0447\u0438\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0441 Solar \u0438 \u043f\u0435\u0440\u0435\u043a\u0440\u044b\u0432\u0430\u044e\u0449\u0438\u0435\u0441\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438, \u043d\u043e \u0442\u0435\u043c \u043d\u0435 \u043c\u0435\u043d\u0435\u0435 \u0435\u0441\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0437\u0430\u043c\u0435\u0442\u043d\u044b\u0445 \u043e\u0442\u043b\u0438\u0447\u0438\u0439:<\/p>\n<ul>\n<li>Use of TLS for C&amp;C communications.<\/li>\n<li>Use of native APIs, rather than .NET APIs, to execute files and shell commands.<\/li>\n<li>Although not actively used, detection evasion code was introduced.<\/li>\n<li>Support for automated exfiltration (<span>Venus<\/span><code><br \/>\n<\/code>in Solar) has been removed; instead, Mango supports an additional backdoor command for exfiltrating selected files.<\/li>\n<li>Support for log mode has been removed, and symbol names have been obfuscated.<\/li>\n<\/ul>\n<p><span lang=\"EN-US\">\u0412 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 \u0430\u0441\u0442\u0440\u043e\u043d\u043e\u043c\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u0441\u0445\u0435\u043c\u044b \u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u044f Solar, Mango \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u0443\u0435\u0442 \u0438\u043c\u0435\u043d\u0430 \u0441\u0432\u043e\u0438\u0445 \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432, \u043a\u0430\u043a \u0432\u0438\u0434\u043d\u043e \u043d\u0430 <\/span>\u0420\u0438\u0441\u0443\u043d\u043a\u0435 <span>7<\/span><span lang=\"EN-US\">. <\/span><\/p>\n<figure><img decoding=\"async\" alt=\"Figure_03_Mango_string_obfuscation\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-03-mango-string-obfuscation-1-2-3.png\" title=\"\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 7. \u0412 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 \u0441\u0432\u043e\u0435\u0433\u043e \u043f\u0440\u0435\u0434\u0448\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u0438\u043a\u0430 Solar (\u0441\u043b\u0435\u0432\u0430), \u0441\u0438\u043c\u0432\u043e\u043b\u044b Mango \u0431\u044b\u043b\u0438 \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u044b<\/em><\/figcaption><\/figure>\n<p><span lang=\"EN-US\">\u041f\u043e\u043c\u0438\u043c\u043e \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0438\u043c\u0435\u043d \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432, Mango \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043c\u0435\u0442\u043e\u0434 \u0441\u0442\u0435\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0442\u0440\u043e\u043a (\u043a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0430 <\/span>\u0420\u0438\u0441\u0443\u043d\u043a\u0435 <span>8<\/span><span lang=\"EN-US\"><\/span><span lang=\"EN-US\">) \u0434\u043b\u044f \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u0442\u0440\u043e\u043a, \u0447\u0442\u043e \u0437\u0430\u0442\u0440\u0443\u0434\u043d\u044f\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0441\u0442\u044b\u0445 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f. <\/span><\/p>\n<figure><img decoding=\"async\" alt=\"Figure_03_Mango_string_obfuscation\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-03-mango-string-obfuscation-1-2-3-4.png\" title=\"\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 8. Mango \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0441\u0442\u0435\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0441\u0442\u0440\u043e\u043a \u0434\u043b\u044f \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0441\u0442\u0440\u043e\u043a \u0438 \u043e\u0431\u0445\u043e\u0434\u0430 \u043f\u0440\u043e\u0441\u0442\u044b\u0445 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u043e\u0432 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f<\/em><\/figcaption><\/figure>\n<p>Similar to Solar, the Mango backdoor starts by creating an in-memory task, scheduled to run indefinitely every 32 seconds. This task communicates with the C&amp;C server and executes backdoor commands, similar to Solar\u2019s <span>Earth<\/span><code><br \/>\n<\/code>task. While Solar also creates <span>Venus<\/span>, a task for automated exfiltration, this functionality has been replaced in Mango by a new backdoor command.<\/p>\n<p><span lang=\"EN-US\">\u0412 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0437\u0430\u0434\u0430\u0447\u0435 Mango \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u0442 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u0436\u0435\u0440\u0442\u0432\u044b, <\/span><span>&lt;victimID&gt;<\/span><span lang=\"EN-US\">, \u0434\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0432 C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u044f\u0445. ID \u0432\u044b\u0447\u0438\u0441\u043b\u044f\u0435\u0442\u0441\u044f \u043a\u0430\u043a MD5-\u0445\u0435\u0448 <\/span><span>&lt;machine name&gt;&lt;username&gt;<\/span><span lang=\"EN-US\">, \u043e\u0442\u0444\u043e\u0440\u043c\u0430\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043a \u0448\u0435\u0441\u0442\u043d\u0430\u0434\u0446\u0430\u0442\u0435\u0440\u0438\u0447\u043d\u0430\u044f \u0441\u0442\u0440\u043e\u043a\u0430.<\/span><\/p>\n<p>\u0414\u043b\u044f \u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0431\u044d\u043a\u0434\u043e\u0440\u0430 Mango \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u0442\u0440\u043e\u043a\u0443 <span>d@&lt;victimID&gt;@&lt;machine name&gt;|&lt;username&gt;<\/span> \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 <span>http:\/\/www.darush.co[.]il\/ads.asp<\/span> \u2014 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0439 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0439 \u043f\u043e\u0440\u0442\u0430\u043b \u0432\u0430\u043a\u0430\u043d\u0441\u0438\u0439, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0432\u0437\u043b\u043e\u043c\u0430\u043d\u043d\u044b\u0439 OilRig \u0434\u043e \u044d\u0442\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438. \u041c\u044b \u0443\u0432\u0435\u0434\u043e\u043c\u0438\u043b\u0438 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0443\u044e \u043d\u0430\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u0443\u044e \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044e CERT \u043e \u0432\u0437\u043b\u043e\u043c\u0435.<\/p>\n<p>\u0422\u0435\u043b\u043e \u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u0444\u043e\u0440\u043c\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<ul>\n<li>\u0414\u0430\u043d\u043d\u044b\u0435 \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0448\u0438\u0444\u0440\u0443\u044e\u0442\u0441\u044f XOR \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043a\u043b\u044e\u0447\u0430 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f <span>Q&amp;4g<\/span>, \u0437\u0430\u0442\u0435\u043c \u043a\u043e\u0434\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0432 base64.<\/li>\n<li>\u041f\u0441\u0435\u0432\u0434\u043e\u0441\u043b\u0443\u0447\u0430\u0439\u043d\u0430\u044f \u0441\u0442\u0440\u043e\u043a\u0430 \u0434\u043b\u0438\u043d\u043e\u0439 \u043e\u0442 3 \u0434\u043e 14 \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0438\u0437 \u044d\u0442\u043e\u0433\u043e \u0430\u043b\u0444\u0430\u0432\u0438\u0442\u0430 (\u043a\u0430\u043a \u0443\u043a\u0430\u0437\u0430\u043d\u043e \u0432 \u043a\u043e\u0434\u0435): <span>i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ<\/span>.<\/li>\n<li>\u0417\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0432\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0432 \u043f\u0441\u0435\u0432\u0434\u043e\u0441\u043b\u0443\u0447\u0430\u0439\u043d\u0443\u044e \u043f\u043e\u0437\u0438\u0446\u0438\u044e \u0432\u043d\u0443\u0442\u0440\u0438 \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438, \u0437\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u043d\u044b\u0435 \u043c\u0435\u0436\u0434\u0443 \u0440\u0430\u0437\u0434\u0435\u043b\u0438\u0442\u0435\u043b\u044f\u043c\u0438 <span> [@<\/span> \u0438 <span>@]<\/span>.<\/li>\n<\/ul>\n<p>\u0414\u043b\u044f \u0441\u0432\u044f\u0437\u0438 \u0441\u043e \u0441\u0432\u043e\u0438\u043c C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c Mango \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b TLS (Transport Layer Security), \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f<span>.<\/span><\/p>\n<p>Similarly, the backdoor command received from the C&amp;C server is XOR encrypted, base64 encoded, and then enclosed between <span>[@<\/span> and <span>@]<\/span> within the HTTP response body. The command itself is either <span>NCNT<\/span><code><br \/>\n<\/code>(in which case no action is taken), or a string of several parameters delimited by<code><br \/>\n<\/code><span>@<\/span>, as detailed in Table <span>1<\/span>, which lists Mango\u2019s backdoor commands. Note that <span>&lt;Arg0&gt;<\/span> is not listed in the table, but is used in the response to the C&amp;C server.<\/p>\n<p><em>\u0422\u0430\u0431\u043b\u0438\u0446\u0430 1. \u0421\u043f\u0438\u0441\u043e\u043a \u043a\u043e\u043c\u0430\u043d\u0434 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 Mango<\/em><\/p>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"643\">\n<tbody>\n<tr>\n<td colspan=\"2\" width=\"75\">\n<p><strong><span lang=\"EN-CA\">Arg1<\/span><\/strong><\/p>\n<\/td>\n<td width=\"90\">\n<p><strong><span lang=\"EN-CA\">Arg2<\/span><\/strong><\/p>\n<\/td>\n<td width=\"49\">\n<p><strong><span lang=\"EN-CA\">Arg3<\/span><\/strong><\/p>\n<\/td>\n<td width=\"195\">\n<p><strong><span lang=\"EN-CA\">\u0412\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u043e\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<td width=\"234\">\n<p><strong><span lang=\"EN-CA\">\u0412\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u043c\u043e\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"4\" width=\"58\">\n<p><span><strong>1<\/strong><\/span><strong> \u0438\u043b\u0438 \u043f\u0443\u0441\u0442\u0430\u044f \u0441\u0442\u0440\u043e\u043a\u0430<\/strong><\/p>\n<\/td>\n<td colspan=\"2\" width=\"107\">\n<p><span>+sp &lt;\u043d\u0435\u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u044b&gt;<\/span><\/p>\n<\/td>\n<td width=\"49\">\n<p>N\/A<\/p>\n<\/td>\n<td width=\"195\">\n<p>\u0412\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b\/\u043a\u043e\u043c\u0430\u043d\u0434\u0443 \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438 (\u0441 \u043d\u0435\u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u043c\u0438 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430\u043c\u0438), \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u043d\u0430\u0442\u0438\u0432\u043d\u044b\u0439 API <span>CreateProcess<\/span>, \u0438\u043c\u043f\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0447\u0435\u0440\u0435\u0437 <span>DllImport<\/span>. \u0415\u0441\u043b\u0438 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u044b \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442 <span>[s]<\/span>, \u043e\u043d \u0437\u0430\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u043d\u0430 <span>C:WindowsSystem32<\/span>.<\/p>\n<\/td>\n<td width=\"234\">\n<p>\u0412\u044b\u0432\u043e\u0434 \u043a\u043e\u043c\u0430\u043d\u0434\u044b.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td colspan=\"2\" width=\"107\">\n<p><span>+nu<\/span><\/p>\n<\/td>\n<td width=\"49\">\n<p>N\/A<\/p>\n<\/td>\n<td width=\"195\">\n<p>\u0412\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 \u0441\u0442\u0440\u043e\u043a\u0443 \u0432\u0435\u0440\u0441\u0438\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u0438 URL C&amp;C.<\/p>\n<\/td>\n<td width=\"234\">\n<p><span>&lt;versionString&gt;|&lt;c2URL&gt;<\/span>; \u0432 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435:<\/p>\n<p><span>1.0.0|http:\/\/www.darush.co[.]il\/ads.asp<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td colspan=\"2\" width=\"107\">\n<p><span>+fl &lt;\u043d\u0435\u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0435 \u0438\u043c\u044f \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430&gt;<\/span><\/p>\n<\/td>\n<td width=\"49\">\n<p>N\/A<\/p>\n<\/td>\n<td width=\"195\">\n<p>\u041f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u044f\u0435\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430 (\u0438\u043b\u0438 \u0442\u0435\u043a\u0443\u0449\u0435\u0433\u043e \u0440\u0430\u0431\u043e\u0447\u0435\u0433\u043e \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430).<\/p>\n<\/td>\n<td width=\"234\">\n<p><span>Directory of &lt;directory path&gt;<\/span><\/p>\n<p>\u0414\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043f\u043e\u0434\u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430:<\/p>\n<p><span>&lt;last_write_time&gt; &lt;DIR&gt; &lt;subdirectory name&gt;<\/span><\/p>\n<p>\u0414\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430:<\/p>\n<p><span>&lt;last_write_time&gt; FILE &lt;file size&gt; &lt;filename&gt;<\/span><\/p>\n<p><span>&lt;number of subdirectories&gt; Dir(s)<\/span><\/p>\n<p><span>&lt;number of files&gt; File(s)<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td colspan=\"2\" width=\"107\">\n<p><span>+dn &lt;\u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430&gt;<\/span><\/p>\n<\/td>\n<td width=\"49\">\n<p>N\/A<\/p>\n<\/td>\n<td width=\"195\">\n<p>\u0417\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430 \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 \u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e\u043c \u043d\u043e\u0432\u043e\u0433\u043e HTTP POST-\u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435: <span>u@&lt;victimID&gt;@&lt;machine name&gt;|&lt;username&gt;@&lt;file path&gt;@2@&lt;base64encodedFileContent&gt;<\/span>.<\/p>\n<\/td>\n<td width=\"234\">\n<p>\u041e\u0434\u043d\u043e \u0438\u0437:<\/p>\n<p><span><span lang=\"EN-US\"><span>\u00b7<span><br \/>\n<\/span><\/span><\/span><\/span><span>file[&lt;filename&gt;] is uploaded to server.<\/span><\/p>\n<p><span><span lang=\"EN-US\"><span>\u00b7<span><br \/>\n<\/span><\/span><\/span><\/span><span>file not found!<\/span><\/p>\n<p><span lang=\"EN-US\"><span>\u00b7<span><br \/>\n<\/span><\/span><\/span><span>file path empty!<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"58\">\n<p><span><strong>2<\/strong><\/span><\/p>\n<\/td>\n<td colspan=\"2\" width=\"107\">\n<p>\u0414\u0430\u043d\u043d\u044b\u0435, \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0432 Base64<\/p>\n<\/td>\n<td width=\"49\">\n<p>\u0418\u043c\u044f \u0444\u0430\u0439\u043b\u0430<\/p>\n<\/td>\n<td width=\"195\">\n<p>\u0417\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0432 \u0444\u0430\u0439\u043b \u0432 \u0440\u0430\u0431\u043e\u0447\u0435\u043c \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435.<\/p>\n<\/td>\n<td width=\"234\">\n<p><span>file downloaded to path[&lt;fullFilePath&gt;]<\/span><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u041a\u0430\u0436\u0434\u0430\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u043d\u043e\u0432\u043e\u043c \u043f\u043e\u0442\u043e\u043a\u0435, \u0430 \u0438\u0445 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u043c\u044b\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0437\u0430\u0442\u0435\u043c \u043a\u043e\u0434\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0432 base64 \u0438 \u043e\u0431\u044a\u0435\u0434\u0438\u043d\u044f\u044e\u0442\u0441\u044f \u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u043c\u0438. \u041d\u0430\u043a\u043e\u043d\u0435\u0446, \u044d\u0442\u0430 \u0441\u0442\u0440\u043e\u043a\u0430 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430 C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0442\u043e\u0433\u043e \u0436\u0435 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 \u0438 \u043c\u0435\u0442\u043e\u0434\u0430 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u0447\u0442\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u044b \u0432\u044b\u0448\u0435.<\/p>\n<h4>\u041d\u0435\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0430\u044f \u0442\u0435\u0445\u043d\u0438\u043a\u0430 \u0443\u043a\u043b\u043e\u043d\u0435\u043d\u0438\u044f \u043e\u0442 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f<\/h4>\n<p>Interestingly, we found an unused <a href=\"https:\/\/blog.xpnsec.com\/protecting-your-malware\/\">detection evasion technique<\/a> within Mango. The function responsible for executing files and commands downloaded from the C&amp;C server takes an optional second parameter \u2013 a process ID. If set, Mango then uses the <span>UpdateProcThreadAttribute<\/span><code><br \/>\n<\/code>API to set the <span>PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY<\/span> (<span>0x20007)<\/span> attribute for the specified process to value: <span>PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON<\/span> (<span>0x100000000000)<\/span>, as shown in Figure <span>9<\/span>.<\/p>\n<figure><img decoding=\"async\" alt=\"Figure_03_Mango_string_obfuscation\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-03-mango-string-obfuscation-1-2-3-4-5.png\" title=\"\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 9. \u041d\u0435\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 \u043a\u043e\u0434 \u0434\u043b\u044f \u0443\u043a\u043b\u043e\u043d\u0435\u043d\u0438\u044f \u043e\u0442 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u043e\u0432 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432 \u0431\u044d\u043a\u0434\u043e\u0440\u0435 Mango<\/em><\/figcaption><\/figure>\n<p>\u0426\u0435\u043b\u044c \u044d\u0442\u043e\u0439 \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u2014 \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u044b\u043c\u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u044f\u043c\u0438 \u0447\u0435\u0440\u0435\u0437 DLL \u0432 \u044d\u0442\u043e\u0442 \u043f\u0440\u043e\u0446\u0435\u0441\u0441. \u0425\u043e\u0442\u044f \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0432 \u043f\u0440\u043e\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u043d\u0430\u043c\u0438 \u043e\u0431\u0440\u0430\u0437\u0446\u0435, \u043e\u043d \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0430\u043a\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u043d \u0432 \u0431\u0443\u0434\u0443\u0449\u0438\u0445 \u0432\u0435\u0440\u0441\u0438\u044f\u0445.<\/p>\n<h4>\u0412\u0435\u0440\u0441\u0438\u044f 1.1.1<\/h4>\n<p>\u041d\u0435 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f \u0441 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0435\u0439 Juicy Mix, \u0432 \u0438\u044e\u043b\u0435 2023 \u0433\u043e\u0434\u0430 \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043d\u043e\u0432\u0443\u044e \u0432\u0435\u0440\u0441\u0438\u044e \u0431\u044d\u043a\u0434\u043e\u0440\u0430 Mango (SHA-1: <span>C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A<\/span>), \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u0443\u044e \u043d\u0430 VirusTotal \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438 \u043f\u043e\u0434 \u0438\u043c\u0435\u043d\u0435\u043c <span>Menorah.exe<\/span>. \u0412\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u044f\u044f \u0432\u0435\u0440\u0441\u0438\u044f \u0432 \u044d\u0442\u043e\u043c \u043e\u0431\u0440\u0430\u0437\u0446\u0435 \u0431\u044b\u043b\u0430 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0430 \u0441 1.0.0 \u043d\u0430 1.1.1, \u043d\u043e \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0435 \u0437\u0430\u043c\u0435\u0442\u043d\u043e\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u2014 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0440\u0443\u0433\u043e\u0433\u043e C&amp;C \u0441\u0435\u0440\u0432\u0435\u0440\u0430: <span>http:\/\/tecforsc-001-site1.gtempurl[.]com\/ads.asp<\/span>.<\/p>\n<p>\u0412\u043c\u0435\u0441\u0442\u0435 \u0441 \u044d\u0442\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0435\u0439 \u043c\u044b \u0442\u0430\u043a\u0436\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 Microsoft Word (SHA-1: <span>3D71D782B95F13EE69E96BCF73EE279A00EAE5DB<\/span>) \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0431\u044d\u043a\u0434\u043e\u0440. \u0420\u0438\u0441\u0443\u043d\u043e\u043a <span>10<\/span> \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043f\u043e\u0434\u0434\u0435\u043b\u044c\u043d\u043e\u0435 \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0435, \u043f\u043e\u0431\u0443\u0436\u0434\u0430\u044e\u0449\u0435\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0440\u0430\u0437\u0440\u0435\u0448\u0438\u0442\u044c \u043c\u0430\u043a\u0440\u043e\u0441\u044b \u0434\u043b\u044f \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430, \u0438 \u0438\u043c\u0438\u0442\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u043a\u043e\u043d\u0442\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u0442\u0441\u044f \u043f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e, \u0432 \u0442\u043e \u0432\u0440\u0435\u043c\u044f \u043a\u0430\u043a \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043a\u043e\u0434 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f \u0432 \u0444\u043e\u043d\u043e\u0432\u043e\u043c \u0440\u0435\u0436\u0438\u043c\u0435.<\/p>\n<\/p>\n<div>\n<figure><a  href=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-10a-malicious-macro.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"\" data-rl_caption=\"\" data-magnific_type=\"gallery\" title=\"\"><img decoding=\"async\" alt=\"Figure_10a_malicious_macro\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-10a-malicious-macro.png\"><\/a><\/figure>\n<figure><a  href=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-10b-decoy-doc.png\" data-rel=\"lightbox-gallery-0\" data-rl_title=\"\" data-rl_caption=\"\" data-magnific_type=\"gallery\" title=\"\"><img decoding=\"async\" alt=\"Figure_10b_decoy_doc\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-10b-decoy-doc.png\"><\/a><\/figure>\n<\/div>\n<p><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 10. \u0414\u043e\u043a\u0443\u043c\u0435\u043d\u0442 Microsoft Word \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 Mango v1.1.1<\/em><\/p>\n<h3><span>\u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0434\u043b\u044f \u043f\u043e\u0441\u0442\u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f<\/span><\/h3>\n<p>\u0412 \u044d\u0442\u043e\u043c \u0440\u0430\u0437\u0434\u0435\u043b\u0435 \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430\u0431\u043e\u0440 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u043f\u043e\u0441\u0442\u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 OilRig Outer Space \u0438 Juicy Mix, \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0445 \u043d\u0430 \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u0435 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0445 \u043d\u0430\u0433\u0440\u0443\u0437\u043e\u043a, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043d\u0430 \u043a\u0440\u0430\u0436\u0443 \u0434\u0430\u043d\u043d\u044b\u0445 \u0441 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c.<\/p>\n<h4>\u0417\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a SampleCheck5000 (SC5k)<\/h4>\n<p>SampleCheck5000 (\u0438\u043b\u0438 SC5k) \u2014 \u044d\u0442\u043e \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 \u0434\u043b\u044f \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 OilRig, \u043f\u0440\u0438\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0442\u0435\u043c, \u0447\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 API Microsoft Office Exchange Web Services \u0434\u043b\u044f C&amp;C \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0438: \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0441\u043e\u0437\u0434\u0430\u044e\u0442 \u0447\u0435\u0440\u043d\u043e\u0432\u0438\u043a\u0438 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0439 \u0432 \u044d\u0442\u043e\u0439 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b \u0438 \u0441\u043a\u0440\u044b\u0432\u0430\u044e\u0442 \u0432 \u043d\u0438\u0445 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0431\u044d\u043a\u0434\u043e\u0440\u0430. \u0412\u043f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a \u0432\u0445\u043e\u0434\u0438\u0442 \u0432 \u0442\u0443 \u0436\u0435 \u0443\u0447\u0435\u0442\u043d\u0443\u044e \u0437\u0430\u043f\u0438\u0441\u044c \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u0442 \u0447\u0435\u0440\u043d\u043e\u0432\u0438\u043a\u0438, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0438 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0435 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f.<\/p>\n<p>SC5k \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u0440\u0435\u0434\u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u2014 URL Microsoft Exchange, \u0430\u0434\u0440\u0435\u0441 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b \u0438 \u043f\u0430\u0440\u043e\u043b\u044c \u2014 \u0434\u043b\u044f \u0432\u0445\u043e\u0434\u0430 \u0432 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0435\u0440 Exchange, \u043d\u043e \u0442\u0430\u043a\u0436\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043f\u0435\u0440\u0435\u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u044f \u044d\u0442\u0438\u0445 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0439 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0444\u0430\u0439\u043b\u0430 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u0432 \u0442\u0435\u043a\u0443\u0449\u0435\u043c \u0440\u0430\u0431\u043e\u0447\u0435\u043c \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>setting.key<\/span>. \u041c\u044b \u0432\u044b\u0431\u0440\u0430\u043b\u0438 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 SampleCheck5000 \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u0430\u0434\u0440\u0435\u0441\u043e\u0432 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0432 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Outer Space.<\/p>\n<p>Once SC5k logs into the remote Exchange server, it retrieves all the emails in the <span>Drafts<\/span><code><br \/>\n<\/code>directory, sorts them by most recent, keeping only the drafts that have attachments. It then iterates over every draft message with an attachment, looking for JSON attachments that contain <span>&#171;data&#187;<\/span> in the body. It extracts the value from the key <span>data<\/span> in the JSON file, base64 decodes and decrypts the value, and calls <span>cmd.exe<\/span> to execute the resulting command line string. SC5k then saves the output of the <span>cmd.exe<\/span><code><br \/>\n<\/code>execution to a local variable.<\/p>\n<p>\u041d\u0430 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c \u0448\u0430\u0433\u0435 \u0446\u0438\u043a\u043b\u0430 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a \u0441\u043e\u043e\u0431\u0449\u0430\u0435\u0442 \u043e \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0430\u0445 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u0430\u043c OilRig, \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u044f \u043d\u043e\u0432\u043e\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435 Exchange \u0438 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u044f \u0435\u0433\u043e \u043a\u0430\u043a \u0447\u0435\u0440\u043d\u043e\u0432\u0438\u043a (\u043d\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u044f), \u043a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 <span>11<\/span>. \u0410\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u0430\u044f \u0442\u0435\u0445\u043d\u0438\u043a\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u0437 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u043f\u0430\u043f\u043a\u0438 staging. \u041d\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u043c \u0448\u0430\u0433\u0435 \u0446\u0438\u043a\u043b\u0430 SC5k \u0442\u0430\u043a\u0436\u0435 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u0443\u0435\u0442 \u0432\u044b\u0432\u043e\u0434 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0432 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u0438 \u0441\u0436\u0430\u0442\u043e\u043c \u0444\u043e\u0440\u043c\u0430\u0442\u0435 \u043d\u0430 \u0434\u0438\u0441\u043a\u0435.<\/p>\n<figure><img decoding=\"async\" alt=\"Figure_03_Mango_string_obfuscation\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-03-mango-string-obfuscation-1.jpeg\" title=\"\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 11. \u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e SC5k<\/em><\/figcaption><\/figure>\n<h4>\u0414\u0430\u043c\u043f\u043f\u0435\u0440\u044b \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430<\/h4>\n<p>It is characteristic of OilRig operators to use browser-data dumpers in their post-compromise activities. We discovered two new browser-data stealers among the post-compromise tools deployed in the Juicy Mix campaign alongside the Mango backdoor. They dump the stolen browser data in the <span>%TEMP%<\/span> directory into files named <span>Cupdate<\/span><code><br \/>\n<\/code>and <span>Eupdate<\/span><code><br \/>\n<\/code>(hence our names for them: CDumper and EDumper).<\/p>\n<p>\u041e\u0431\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430 \u2014 \u044d\u0442\u043e C#\/.NET \u0441\u0442\u0438\u043b\u0435\u0440 \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430, \u0441\u043e\u0431\u0438\u0440\u0430\u044e\u0449\u0438\u0439 \u043a\u0443\u043a\u0438, \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u043e\u0432 \u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u0432 Chrome (CDumper) \u0438 Edge (EDumper). \u041c\u044b \u0441\u043e\u0441\u0440\u0435\u0434\u043e\u0442\u043e\u0447\u0438\u043c \u043d\u0430\u0448 \u0430\u043d\u0430\u043b\u0438\u0437 \u043d\u0430 CDumper, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043e\u0431\u0430 \u0441\u0442\u0438\u043b\u0435\u0440\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0438\u0434\u0435\u043d\u0442\u0438\u0447\u043d\u044b, \u0437\u0430 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435\u043c \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u043a\u043e\u043d\u0441\u0442\u0430\u043d\u0442.<\/p>\n<p>When executed, CDumper creates a list of users with Google Chrome installed. On execution, the stealer connects to the Chrome SQLite <span>Cookies<\/span>, <span>History<\/span><code><br \/>\n<\/code>and <span>Login Data<\/span> databases under <span>%APPDATA%LocalGoogleChromeUser Data<\/span>, and collects browser data including visited URLs and saved logins, using SQL queries.<\/p>\n<p>The cookie values are then decrypted, and all collected information is added to a log file named <span>C:Users&lt;user&gt;AppDataLocalTempCupdate<\/span>, in cleartext. This functionality is implemented in CDumper functions named <span>CookieGrab<\/span><code><br \/>\n<\/code>(see Figure <span>12<\/span>), <span> HistoryGrab,<\/span> and <span>PasswordGrab<\/span>. Note that there is no exfiltration mechanism implemented in CDumper, but Mango can exfiltrate selected files via a backdoor command.<\/p>\n<figure><img decoding=\"async\" alt=\"Figure_03_Mango_string_obfuscation\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2023\/2023-8\/figure-03-mango-string-obfuscation-1-2-3-4-5-6-7.png\" title=\"\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 12. \u0424\u0443\u043d\u043a\u0446\u0438\u044f CookieGrab CDumper \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442 \u0438 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442 \u043a\u0443\u043a\u0438 \u0438\u0437 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 Chrome<\/em><\/figcaption><\/figure>\n<p>\u041a\u0430\u043a \u0432 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Outer Space, \u0442\u0430\u043a \u0438 \u0432 \u0431\u043e\u043b\u0435\u0435 \u0440\u0430\u043d\u043d\u0435\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 <a href=\"https:\/\/web-assets.esetstatic.com\/wls\/en\/papers\/threat-reports\/eset_threat_report_t32021.pdf\">Out to Sea<\/a>, OilRig \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 \u0434\u0430\u043c\u043f\u043f\u0435\u0440 \u0434\u0430\u043d\u043d\u044b\u0445 Chrome \u043d\u0430 C\/C++, \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u043c\u044b\u0439 MKG. \u041a\u0430\u043a \u0438 CDumper \u0438 EDumper, MKG \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0433 \u043a\u0440\u0430\u0441\u0442\u044c \u0438\u043c\u0435\u043d\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0438 \u043f\u0430\u0440\u043e\u043b\u0438, \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u043e\u0432 \u0438 \u043a\u0443\u043a\u0438 \u0438\u0437 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430. \u042d\u0442\u043e\u0442 \u0434\u0430\u043c\u043f\u043f\u0435\u0440 \u0434\u0430\u043d\u043d\u044b\u0445 Chrome \u043e\u0431\u044b\u0447\u043d\u043e \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 (\u043f\u0440\u0438\u0447\u0435\u043c \u043f\u0435\u0440\u0432\u043e\u0435 \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u043d\u044b\u043c):<\/p>\n<ul>\n<li><span><span lang=\"EN-US\"><span><span><br \/>\n<\/span><\/span><\/span><\/span><span>%USERS%publicprogramsvmwaredir&lt;random_14_character_string&gt;mkc.exe<\/span><\/li>\n<li><span>%USERS%PublicM64.exe<\/span><\/li>\n<\/ul>\n<h4>\u0421\u0442\u0438\u043b\u0435\u0440 Windows Credential Manager<\/h4>\n<p>Besides browser-data dumping tools, OilRig also used a Windows Credential Manager stealer in the Juicy Mix campaign. This tool steals credentials from Windows Credential Manager, and similar to CDumper and EDumper, stores them in the <span>%TEMP%<\/span> directory \u2013 this time into a file named <span>IUpdate<\/span><code><br \/>\n<\/code>(hence the name IDumper). Unlike CDumper and EDumper, IDumper is implemented as a PowerShell script.<\/p>\n<p>\u041a\u0430\u043a \u0438 \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0441 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c\u0438 \u0434\u0430\u043c\u043f\u043f\u0438\u043d\u0433\u0430 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u0434\u043b\u044f OilRig \u043d\u0435 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0440\u0435\u0434\u043a\u043e\u0441\u0442\u044c\u044e \u0441\u0431\u043e\u0440 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438\u0437 Windows Credential Manager. \u0420\u0430\u043d\u0435\u0435 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b OilRig \u0431\u044b\u043b\u0438 \u0437\u0430\u043c\u0435\u0447\u0435\u043d\u044b \u0437\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c VALUEVAULT, <a href=\"https:\/\/www.softpedia.com\/get\/Security\/Password-Managers-Generators\/Windows-Vault-Password-Dumper.shtml\">\u043e\u0431\u0449\u0435\u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0433\u043e<\/a><span>,<\/span> \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430 \u0434\u043b\u044f \u043a\u0440\u0430\u0436\u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0433\u043e \u043d\u0430 Go (\u0441\u043c. \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e <a href=\"https:\/\/www.mandiant.com\/resources\/blog\/hard-pass-declining-apt34-invite-to-join-their-professional-network\">HardPass 2019 \u0433\u043e\u0434\u0430<\/a> \u0438 <a href=\"https:\/\/www.intezer.com\/blog\/malware-analysis\/new-iranian-campaign-tailored-to-us-companies-uses-updated-toolset\/\">\u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e 2020 \u0433\u043e\u0434\u0430<\/a>), \u0434\u043b\u044f \u0442\u043e\u0439 \u0436\u0435 \u0446\u0435\u043b\u0438.<\/p>\n<h2><a><\/a>\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h2>\n<p>OilRig \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u0435\u0442 \u0432\u043d\u0435\u0434\u0440\u044f\u0442\u044c \u0438\u043d\u043d\u043e\u0432\u0430\u0446\u0438\u0438 \u0438 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043d\u043e\u0432\u044b\u0435 \u0438\u043c\u043f\u043b\u0430\u043d\u0442\u044b \u0441 \u0444\u0443\u043d\u043a\u0446\u0438\u044f\u043c\u0438, \u0441\u0445\u043e\u0436\u0438\u043c\u0438 \u0441 \u0431\u044d\u043a\u0434\u043e\u0440\u0430\u043c\u0438, \u043d\u0430\u0445\u043e\u0434\u044f \u043d\u043e\u0432\u044b\u0435 \u0441\u043f\u043e\u0441\u043e\u0431\u044b \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u043c\u0430\u043d\u0434 \u043d\u0430 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445. \u0413\u0440\u0443\u043f\u043f\u0430 \u0443\u043b\u0443\u0447\u0448\u0438\u043b\u0430 \u0441\u0432\u043e\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 \u043d\u0430 C#\/.NET Solar \u0438\u0437 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Outer Space, \u0447\u0442\u043e\u0431\u044b \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043d\u043e\u0432\u044b\u0439 \u0431\u044d\u043a\u0434\u043e\u0440 \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c Mango \u0434\u043b\u044f \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Juicy Mix. \u0413\u0440\u0443\u043f\u043f\u0430 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u0435\u0442 \u043d\u0430\u0431\u043e\u0440 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u043f\u043e\u0441\u0442\u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u0443\u043a\u0438 \u0438 \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u043e\u0432 \u0438\u0437 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0445 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u0432 \u0438 \u0438\u0437 Windows Credential Manager. \u041d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u044d\u0442\u0438 \u0438\u043d\u043d\u043e\u0432\u0430\u0446\u0438\u0438, OilRig \u0442\u0430\u043a\u0436\u0435 \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u0435\u0442 \u043f\u043e\u043b\u0430\u0433\u0430\u0442\u044c\u0441\u044f \u043d\u0430 \u0443\u0441\u0442\u043e\u044f\u0432\u0448\u0438\u0435\u0441\u044f \u0441\u043f\u043e\u0441\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0445 \u0434\u0430\u043d\u043d\u044b\u0445.<\/p>\n<blockquote>\n<p>\u0415\u0441\u043b\u0438 \u0435\u0441\u0442\u044c \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u043f\u043e \u043d\u0430\u0448\u0438\u043c \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f\u043c \u043d\u0430 WeLiveSecurity, \u043f\u0438\u0448\u0438\u0442\u0435 \u043d\u0430 <a href=\"mailto:threatintel@eset.com?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=autotagging&amp;utm_content=eset-research&amp;utm_term=en\">threatintel@eset.com<\/a>.<br \/>ESET Research \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u0435\u0442 \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0435 \u043e\u0442\u0447\u0435\u0442\u044b \u0438 \u0444\u0438\u0434\u044b \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u043e APT-\u0443\u0433\u0440\u043e\u0437\u0430\u043c. \u0417\u0430 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e\u0441\u0442\u044f\u043c\u0438 \u043e\u0431\u0440\u0430\u0449\u0430\u0439\u0442\u0435\u0441\u044c \u043d\u0430 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 <a href=\"https:\/\/www.eset.com\/int\/business\/services\/threat-intelligence\/?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=wls-research&amp;utm_content=oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes\/\">ESET Threat Intelligence<\/a>.<\/p>\n<\/blockquote>\n<h2><a><\/a><a><\/a><a><\/a><span><span><span lang=\"FR\">IoCs<\/span><\/span><\/span><\/h2>\n<h3><a><\/a><span lang=\"FR\">\u0424\u0430\u0439\u043b\u044b<\/span><\/h3>\n<p><a><\/a><a><\/a><a><\/a><a><\/a><\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"642\">\n<tbody>\n<tr>\n<td width=\"170\">\n<p><strong>SHA-1<\/strong><\/p>\n<\/td>\n<td width=\"141\">\n<p><strong>\u0418\u043c\u044f \u0444\u0430\u0439\u043b\u0430<\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><strong>\u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f ESET<\/strong><\/p>\n<\/td>\n<td width=\"155\">\n<p><strong>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>3D71D782B95F13EE69E96BCF73EE279A00EAE5DB<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>MyCV.doc<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>VBA\/OilRig.C<\/p>\n<\/td>\n<td width=\"155\">\n<p><span>\u0414\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0434\u0440\u043e\u043f\u0430\u0435\u0442 Mango.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>3699B67BF4E381847BF98528F8CE2B966231F01A<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>chrome_log.vbs<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>VBS\/TrojanDropper.Agent.PCC<\/p>\n<\/td>\n<td width=\"155\">\n<p>VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>1DE4810A10FA2D73CC589CA403A4390B02C6DA5E<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>Solar.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>MSIL\/OilRig.E<\/p>\n<\/td>\n<td width=\"155\">\n<p>Solar backdoor.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>Mango.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>MSIL\/OilRig.E<\/p>\n<\/td>\n<td width=\"155\">\n<p>Mango backdoor (v1.0.0).<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>Menorah.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>MSIL\/OilRig.E<\/p>\n<\/td>\n<td width=\"155\">\n<p>Mango backdoor (v1.1.1).<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>83419CBA55C898FDBE19DFAFB5B1B207CC443190<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>EdgeUpdater.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>MSIL\/PSW.Agent.SXJ<\/p>\n<\/td>\n<td width=\"155\">\n<p>Edge data dumper.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>Gr.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>MSIL\/PSW.Agent.SXJ<\/p>\n<\/td>\n<td width=\"155\">\n<p>Chrome data dumper.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>BE01C95C2B5717F39B550EA20F280D69C0C05894<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>ieupdater.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>PowerShell\/PSW.Agent.AH<\/p>\n<\/td>\n<td width=\"155\">\n<p>Windows Credential Manager dumper.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>mkc.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>Win64\/PSW.Agent.AW<\/p>\n<\/td>\n<td width=\"155\">\n<p>MKG &#8212; Chrome data dumper.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>94C08A619AF2B08FEF08B131A7A59D115C8C2F7B<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>mkkc.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>Win64\/PSW.Agent.AW<\/p>\n<\/td>\n<td width=\"155\">\n<p>MKG &#8212; Chrome data dumper.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>CA53B8EB76811C1940D814AAA8FE875003805F51<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>cmk.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>Win64\/PSW.Agent.AW<\/p>\n<\/td>\n<td width=\"155\">\n<p>MKG &#8212; Chrome data dumper.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>BE9B6ACA8A175DF61F2C75932E029F19789FD7E3<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>CCXProcess.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>MSIL\/OilRig.A<\/p>\n<\/td>\n<td width=\"155\">\n<p>SC5k downloader (32-bit version).<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>2236D4DCF68C65A822FF0A2AD48D4DF99761AD07<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>acrotray.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>MSIL\/OilRig.D<\/p>\n<\/td>\n<td width=\"155\">\n<p>SC5k downloader (64-bit version).<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"170\">\n<p><span>EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1<\/span><\/p>\n<\/td>\n<td width=\"141\">\n<p><span>node.exe<\/span><\/p>\n<\/td>\n<td width=\"155\">\n<p>MSIL\/OilRig.D<\/p>\n<\/td>\n<td width=\"155\">\n<p>SC5k downloader (64-bit version).<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3><span><span><span><span><span lang=\"EN-CA\">\u0421\u0435\u0442\u044c<\/span><\/span><\/span><\/span><\/span><\/h3>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"642\">\n<tbody>\n<tr>\n<td width=\"139\">\n<p><strong>IP<\/strong><\/p>\n<\/td>\n<td width=\"181\">\n<p><strong>\u0414\u043e\u043c\u0435\u043d<\/strong><\/p>\n<\/td>\n<td width=\"124\">\n<p><strong>\u0425\u043e\u0441\u0442\u0438\u043d\u0433-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440<\/strong><\/p>\n<\/td>\n<td width=\"93\">\n<p><strong>\u0412\u043f\u0435\u0440\u0432\u044b\u0435 \u0437\u0430\u043c\u0435\u0447\u0435\u043d<\/strong><\/p>\n<\/td>\n<td width=\"106\">\n<p><strong>\u0414\u0435\u0442\u0430\u043b\u0438<\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"139\">\n<p><span>199.102.48[.]42<\/span><\/p>\n<\/td>\n<td width=\"181\">\n<p><span>tecforsc-001-site1.gtempurl[.]com<\/span><\/p>\n<\/td>\n<td width=\"124\">\n<p>MarquisNet<\/p>\n<\/td>\n<td width=\"93\">\n<p>29.07.2022<\/p>\n<\/td>\n<td width=\"106\">\n<p>N\/A<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2><span><span><span><span><span lang=\"EN-CA\">\u0422\u0435\u0445\u043d\u0438\u043a\u0438 MITRE ATT&amp;CK<\/span><\/span><\/span><\/span><\/span><\/h2>\n<p>\u042d\u0442\u0430 \u0442\u0430\u0431\u043b\u0438\u0446\u0430 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0430 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/attack.mitre.org\/resources\/versions\/\">\u0432\u0435\u0440\u0441\u0438\u0438 13<\/a> \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u0430 MITRE ATT&amp;CK.<\/p>\n<p><span><\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"642\">\n<tbody>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u0422\u0430\u043a\u0442\u0438\u043a\u0430<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">ID<\/span><\/strong><\/p>\n<\/td>\n<td width=\"151\">\n<p><strong><span lang=\"EN-US\">\u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<td width=\"265\">\n<p><strong><span lang=\"EN-US\">\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"4\" width=\"113\">\n<p><strong><span lang=\"EN-US\">\u0420\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1584\/004\">T1584.004<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b: \u0421\u0435\u0440\u0432\u0435\u0440<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0412 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 Outer Space \u0438 Juicy Mix \u0433\u0440\u0443\u043f\u043f\u0438\u0440\u043e\u0432\u043a\u0430 OilRig \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043b\u0430 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435 \u0432\u0435\u0431-\u0441\u0430\u0439\u0442\u044b \u0434\u043b\u044f \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0438 \u0434\u043b\u044f \u0441\u0432\u044f\u0437\u0438 \u0441 C&amp;C.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1587\/001\">T1587.001<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0420\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0435\u0439: \u0412\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">OilRig \u0440\u0430\u0437\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043b\u0430 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435 \u0431\u044d\u043a\u0434\u043e\u0440\u044b (Solar \u0438 Mango), \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a (SC5k) \u0438 \u043d\u0430\u0431\u043e\u0440 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u043a\u0440\u0430\u0436\u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0434\u043b\u044f \u0441\u0432\u043e\u0438\u0445 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0439.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1608\/001\">T1608.001<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0420\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u0438\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0435\u0439: \u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">OilRig \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u043b\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b \u043d\u0430 \u0441\u0432\u043e\u0438 C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u044b, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u043b\u0430 \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 <\/span><span><span lang=\"EN-US\">Drafts<\/span><\/span><span lang=\"EN-US\"> \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 Office 365, \u0447\u0442\u043e\u0431\u044b SC5k \u043c\u043e\u0433 \u0438\u0445 \u0441\u043a\u0430\u0447\u0430\u0442\u044c \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1608\/002\">T1608.002<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0420\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u0438\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0435\u0439: \u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">OilRig \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u043b\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u043d\u0430 \u0441\u0432\u043e\u0438 C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u044b, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u043b\u0430 \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 <\/span><span><span lang=\"EN-US\">Drafts<\/span><\/span><span lang=\"EN-US\"> \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 Office 365, \u0447\u0442\u043e\u0431\u044b SC5k \u043c\u043e\u0433 \u0438\u0445 \u0441\u043a\u0430\u0447\u0430\u0442\u044c \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u041f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1566\/001\">T1566.001<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0424\u0438\u0448\u0438\u043d\u0433: \u0426\u0435\u043b\u0435\u0432\u043e\u0439 \u0444\u0438\u0448\u0438\u043d\u0433 \u0441 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">OilRig, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u043b\u0430 \u0441\u0432\u043e\u0438 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 Outer Space \u0438 Juicy Mix \u0447\u0435\u0440\u0435\u0437 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u0435 \u043f\u0438\u0441\u044c\u043c\u0430 \u0441 \u0432\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u043c\u0438 VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430\u043c\u0438.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"5\" width=\"113\">\n<p><strong><span lang=\"EN-US\">\u0412\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1053\/005\">T1053.005<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u0430\/\u0437\u0430\u0434\u0430\u043d\u0438\u0435: \u0417\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u0430<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b OilRig IDumper, EDumper \u0438 CDumper \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438 \u0441 \u0438\u043c\u0435\u043d\u0430\u043c\u0438 <\/span><span><span lang=\"EN-US\">ie&lt;user&gt;<\/span><\/span><span lang=\"EN-US\">, <\/span><span><span lang=\"EN-US\">ed&lt;user&gt;,<\/span><\/span><span lang=\"EN-US\"> \u0438 <\/span><span><span lang=\"EN-US\">cu&lt;user&gt;<\/span><\/span><span lang=\"EN-US\"> \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043e\u0442 \u0438\u043c\u0435\u043d\u0438 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439.<\/span><\/p>\n<p><span lang=\"EN-US\">Solar \u0438 Mango \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0437\u0430\u0434\u0430\u0447\u0443 C#\/.NET \u043f\u043e \u0442\u0430\u0439\u043c\u0435\u0440\u0443 \u0434\u043b\u044f \u0438\u0442\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0441\u0432\u043e\u0438\u0445 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0445 \u0444\u0443\u043d\u043a\u0446\u0438\u0439.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1059\/001\">T1059.001<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0418\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440 \u043a\u043e\u043c\u0430\u043d\u0434 \u0438 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432: PowerShell<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 OilRig IDumper \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 PowerShell \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1059\/003\">T1059.003<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0418\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440 \u043a\u043e\u043c\u0430\u043d\u0434 \u0438 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432: \u041a\u043e\u043c\u0430\u043d\u0434\u043d\u0430\u044f \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0430 Windows<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Solar, SC5k, IDumper, EDumper \u0438 CDumper \u043e\u0442 OilRig \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 <\/span><span><span lang=\"EN-US\">cmd.exe<\/span><\/span><span lang=\"EN-US\"> \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0437\u0430\u0434\u0430\u0447 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1059\/005\">T1059.005<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0418\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440 \u043a\u043e\u043c\u0430\u043d\u0434 \u0438 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432: Visual Basic<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">OilRig \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 VBScript \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 \u0438 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u043f\u0435\u0440\u0441\u0438\u0441\u0442\u0435\u043d\u0442\u043d\u043e\u0441\u0442\u0438 \u0431\u044d\u043a\u0434\u043e\u0440\u043e\u0432 Solar \u0438 Mango.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1106\">T1106<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041d\u0430\u0442\u0438\u0432\u043d\u044b\u0439 API<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0411\u044d\u043a\u0434\u043e\u0440 Mango \u043e\u0442 OilRig \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 Windows API <\/span><span><span lang=\"EN-US\">CreateProcess<\/span><\/span><span lang=\"EN-US\"> \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u041f\u0435\u0440\u0441\u0438\u0441\u0442\u0435\u043d\u0442\u043d\u043e\u0441\u0442\u044c<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1053\/005\">T1053.005<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u0430\/\u0437\u0430\u0434\u0430\u043d\u0438\u0435: \u0417\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u0430<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440 OilRig \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0437\u0430\u0434\u0430\u0447\u0443 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <\/span><span><span lang=\"EN-US\">ReminderTask<\/span><\/span><span lang=\"EN-US\"> \u0434\u043b\u044f \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u043f\u0435\u0440\u0441\u0438\u0441\u0442\u0435\u043d\u0442\u043d\u043e\u0441\u0442\u0438 \u0431\u044d\u043a\u0434\u043e\u0440\u0430 Mango.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"8\" width=\"113\">\n<p><strong><span lang=\"EN-US\">\u041e\u0431\u0445\u043e\u0434 \u0437\u0430\u0449\u0438\u0442\u044b<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1036\/005\">T1036.005<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041c\u0430\u0441\u043a\u0438\u0440\u043e\u0432\u043a\u0430: \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0438\u043c\u0435\u043d\u0438 \u0438\u043b\u0438 \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">OilRig \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435 \u0438\u043b\u0438 \u0431\u0435\u0437\u043e\u0431\u0438\u0434\u043d\u044b\u0435 \u0438\u043c\u0435\u043d\u0430 \u0444\u0430\u0439\u043b\u043e\u0432 \u0434\u043b\u044f \u0441\u0432\u043e\u0435\u0433\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e, \u0447\u0442\u043e\u0431\u044b \u0441\u043a\u0440\u044b\u0432\u0430\u0442\u044c\u0441\u044f \u043e\u0442 \u0437\u0430\u0449\u0438\u0442\u043d\u0438\u043a\u043e\u0432 \u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1027\/002\">T1027.002<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u043f\u0443\u0442\u0430\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0438\u043b\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f: \u0423\u043f\u0430\u043a\u043e\u0432\u043a\u0430 \u041f\u041e<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">OilRig \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0430 <\/span><a href=\"https:\/\/www.sapien.com\/blog\/2016\/10\/24\/sapien-script-packager-updates-and-new-features\/\">SAPIEN Script Packager<\/a> \u0438 <a href=\"https:\/\/www.red-gate.com\/products\/dotnet-development\/smartassembly\/\">SmartAssembly obfuscator<\/a> \u0434\u043b\u044f \u0437\u0430\u043f\u0443\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0441\u0432\u043e\u0435\u0433\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430 IDumper.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1027\/009\">T1027.009<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u043f\u0443\u0442\u0430\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0438\u043b\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f: \u0412\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u043f\u0435\u0439\u043b\u043e\u0430\u0434\u044b<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u044b OilRig \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u043b\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u043f\u0435\u0439\u043b\u043e\u0430\u0434\u044b, \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0432 \u0432\u0438\u0434\u0435 \u0441\u0435\u0440\u0438\u0438 \u043f\u043e\u0434\u0441\u0442\u0440\u043e\u043a base64.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1036\/004\">T1036.004<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041c\u0430\u0441\u043a\u0438\u0440\u043e\u0432\u043a\u0430: \u041c\u0430\u0441\u043a\u0438\u0440\u043e\u0432\u043a\u0430 \u0437\u0430\u0434\u0430\u0447\u0438 \u0438\u043b\u0438 \u0441\u043b\u0443\u0436\u0431\u044b<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0427\u0442\u043e\u0431\u044b \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u0442\u044c \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u043e, VBS \u0434\u0440\u043e\u043f\u043f\u0435\u0440 Mango \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0437\u0430\u0434\u0430\u0447\u0443 \u0441 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435\u043c <\/span><span><span lang=\"EN-US\">Start notepad at a certain time<\/span><\/span><span lang=\"EN-US\">.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1070\/009\">T1070.009<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0423\u0434\u0430\u043b\u0435\u043d\u0438\u0435 \u0438\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u043e\u0432: \u041e\u0447\u0438\u0441\u0442\u043a\u0430 \u043f\u0435\u0440\u0441\u0438\u0441\u0442\u0435\u043d\u0442\u043d\u043e\u0441\u0442\u0438<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b OilRig \u0434\u043b\u044f \u043f\u043e\u0441\u0442-\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 \u0443\u0434\u0430\u043b\u044f\u044e\u0442 \u0441\u0432\u043e\u0438 \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438 \u0447\u0435\u0440\u0435\u0437 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0439 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u043a \u0432\u0440\u0435\u043c\u0435\u043d\u0438.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1140\">T1140<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"FR\">\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f\/\u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u043b\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">OilRig \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u0434\u043b\u044f \u0437\u0430\u0449\u0438\u0442\u044b \u0441\u0432\u043e\u0438\u0445 \u0441\u0442\u0440\u043e\u043a \u0438 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0445 \u043f\u0435\u0439\u043b\u043e\u0430\u0434\u043e\u0432.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1553\">T1553<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041e\u0431\u0445\u043e\u0434 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u043e\u0432 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u0432\u0435\u0440\u0438\u0435\u043c<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">SC5k \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 Office 365, \u043e\u0431\u044b\u0447\u043d\u043e \u0434\u043e\u0432\u0435\u0440\u0435\u043d\u043d\u0443\u044e \u0442\u0440\u0435\u0442\u044c\u044e \u0441\u0442\u043e\u0440\u043e\u043d\u0443 \u0438 \u0447\u0430\u0441\u0442\u043e \u0443\u043f\u0443\u0441\u043a\u0430\u0435\u043c\u0443\u044e \u0438\u0437 \u0432\u0438\u0434\u0443 \u0437\u0430\u0449\u0438\u0442\u043d\u0438\u043a\u0430\u043c\u0438, \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0441\u0430\u0439\u0442\u0430 \u0434\u043b\u044f \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1562\">T1562<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u0435 \u0440\u0430\u0431\u043e\u0442\u044b \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u0437\u0430\u0449\u0438\u0442\u044b<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0411\u044d\u043a\u0434\u043e\u0440 Mango \u043e\u0442 OilRig \u0438\u043c\u0435\u0435\u0442 (\u043f\u043e\u043a\u0430 \u043d\u0435\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u0443\u044e) \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0437\u0430\u0449\u0438\u0442\u044b \u043a\u043e\u043d\u0435\u0447\u043d\u044b\u0445 \u0442\u043e\u0447\u0435\u043a \u0432 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u0445.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"2\" width=\"113\">\n<p><strong><span lang=\"EN-US\">\u0414\u043e\u0441\u0442\u0443\u043f \u043a \u0443\u0447\u0435\u0442\u043d\u044b\u043c \u0434\u0430\u043d\u043d\u044b\u043c<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1555\/003\">T1555.003<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0423\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449 \u043f\u0430\u0440\u043e\u043b\u0435\u0439: \u0423\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 \u0432\u0435\u0431-\u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u0432<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0421\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b OilRig MKG, CDumper \u0438 EDumper \u043c\u043e\u0433\u0443\u0442 \u043f\u043e\u043b\u0443\u0447\u0430\u0442\u044c \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435, \u043a\u0443\u043a\u0438 \u0438 \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u043e\u0432 \u0438\u0437 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u0432 Chrome \u0438 Edge.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1555\/004\">T1555.004<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0423\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449 \u043f\u0430\u0440\u043e\u043b\u0435\u0439: \u0414\u0438\u0441\u043f\u0435\u0442\u0447\u0435\u0440 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 Windows<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0421\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 OilRig \u0434\u043b\u044f \u0434\u0430\u043c\u043f\u0438\u043d\u0433\u0430 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 IDumper \u043c\u043e\u0436\u0435\u0442 \u043a\u0440\u0430\u0441\u0442\u044c \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 \u0414\u0438\u0441\u043f\u0435\u0442\u0447\u0435\u0440\u0430 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 Windows.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"5\" width=\"113\">\n<p><strong><span lang=\"EN-US\">\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1082\">T1082<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043e \u0441\u0438\u0441\u0442\u0435\u043c\u0435<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Mango \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0438\u043c\u044f \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0430.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1083\">T1083<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u043e\u0432<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Mango \u0438\u043c\u0435\u0435\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u0443 \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u0438\u044f \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0433\u043e \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1033\">T1033<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0432\u043b\u0430\u0434\u0435\u043b\u044c\u0446\u0430\/\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u044b<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Mango \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0436\u0435\u0440\u0442\u0432\u044b.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1087\/001\">T1087.001<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0437\u0430\u043f\u0438\u0441\u0435\u0439: \u041b\u043e\u043a\u0430\u043b\u044c\u043d\u0430\u044f \u0443\u0447\u0435\u0442\u043d\u0430\u044f \u0437\u0430\u043f\u0438\u0441\u044c<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">\u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b OilRig EDumper, CDumper \u0438 IDumper \u043c\u043e\u0433\u0443\u0442 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u044f\u0442\u044c \u0432\u0441\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043d\u0430 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u0445\u043e\u0441\u0442\u0435.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1217\">T1217<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">MKG \u0434\u0430\u043c\u043f\u0438\u0442 \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u0438 \u0437\u0430\u043a\u043b\u0430\u0434\u043a\u0438 Chrome.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"7\" width=\"113\">\n<p><strong><span lang=\"EN-US\">\u041a\u043e\u043c\u0430\u043d\u0434\u044b \u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1071\/001\">T1071.001<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u044b \u043f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u043e\u0433\u043e \u0443\u0440\u043e\u0432\u043d\u044f: \u0412\u0435\u0431-\u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u044b<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Mango \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 HTTP \u0434\u043b\u044f \u0441\u0432\u044f\u0437\u0438 \u0441 C&amp;C.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1105\">T1105<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041f\u0435\u0440\u0435\u043d\u043e\u0441 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Mango \u0438\u043c\u0435\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u0442\u044c \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0441 C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0434\u043b\u044f \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1001\">T1001<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u043f\u0443\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0445<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Solar \u0438 SC5k \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u043c\u0435\u0442\u043e\u0434 XOR-\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 gzip-\u0441\u0436\u0430\u0442\u0438\u0435\u043c \u0434\u043b\u044f \u0437\u0430\u043f\u0443\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u0440\u0438 \u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0438 \u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0435.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1102\/002\">T1102.002<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0412\u0435\u0431-\u0441\u0435\u0440\u0432\u0438\u0441: \u0414\u0432\u0443\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043d\u0430\u044f \u0441\u0432\u044f\u0437\u044c<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">SC5k \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 Office 365 \u0434\u043b\u044f \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f \u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e <\/span><span><span lang=\"EN-US\">Drafts<\/span><\/span><span lang=\"EN-US\"> \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u043e\u0439 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u044b.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1132\/001\">T1132.001<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u041a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0445: \u0421\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0435 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Solar, Mango \u0438 MKG \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u044e\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 base64 \u043f\u0435\u0440\u0435\u0434 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u043e\u0439 \u043d\u0430 C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1573\/001\">T1573.001<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043d\u0430\u043b: \u0421\u0438\u043c\u043c\u0435\u0442\u0440\u0438\u0447\u043d\u0430\u044f \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u044f<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Mango \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 XOR-\u0448\u0438\u0444\u0440 \u0441 \u043a\u043b\u044e\u0447\u043e\u043c <\/span><span><span lang=\"EN-US\">Q&amp;4g<\/span><\/span><span lang=\"EN-US\"> \u0434\u043b\u044f \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u0440\u0438 \u0441\u0432\u044f\u0437\u0438 \u0441 C&amp;C.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1573\/002\">T1573.002<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u0417\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043d\u0430\u043b: \u0410\u0441\u0438\u043c\u043c\u0435\u0442\u0440\u0438\u0447\u043d\u0430\u044f \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u044f<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Mango \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 TLS \u0434\u043b\u044f \u0441\u0432\u044f\u0437\u0438 \u0441 C&amp;C.<\/span><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"113\">\n<p><strong><span lang=\"EN-US\">\u042d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f<\/span><\/strong><\/p>\n<\/td>\n<td width=\"113\">\n<p><span lang=\"EN-US\"><a href=\"https:\/\/attack.mitre.org\/versions\/v13\/techniques\/T1041\">T1041<\/a><\/span><\/p>\n<\/td>\n<td width=\"151\">\n<p><span lang=\"EN-US\">\u042d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f \u0447\u0435\u0440\u0435\u0437 C2-\u043a\u0430\u043d\u0430\u043b<\/span><\/p>\n<\/td>\n<td width=\"265\">\n<p><span lang=\"EN-US\">Mango, Solar \u0438 SC5k \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0441\u0432\u043e\u0438 C&amp;C-\u043a\u0430\u043d\u0430\u043b\u044b \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0434\u0430\u043d\u043d\u044b\u0445.<\/span><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><\/span>\n<\/p>\n<p><a href=\"https:\/\/www.eset.com\/int\/business\/services\/threat-intelligence\/?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=wls-research&amp;utm_content=oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes\/\"><img loading=\"lazy\" decoding=\"async\" alt=\"\" height=\"296\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2022\/12\/eset-threat-intelligence.png\" width=\"915\"><\/a><\/p>\n<\/p>\n<p class=\"wls-source\"><a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes\/\" rel=\"nofollow noopener\" target=\"_blank\">\u0427\u0438\u0442\u0430\u0442\u044c \u043f\u043e\u043b\u043d\u044b\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u043d\u0430 WeLiveSecurity \u2192<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 ESET \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0438\u0440\u0443\u044e\u0442 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 OilRig Outer Space \u0438 Juicy Mix, \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u043d\u044b\u0435 \u043d\u0430 \u0438\u0437\u0440\u0430\u0438\u043b\u044c\u0441\u043a\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0432 2021 \u0438 2022 \u0433\u043e\u0434\u0430\u0445<\/p>\n","protected":false},"author":5,"featured_media":8462,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2891],"tags":[],"class_list":["post-8464","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-issledovaniya-eset"],"acf":[],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts\/8464","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/comments?post=8464"}],"version-history":[{"count":0,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts\/8464\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/media\/8462"}],"wp:attachment":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/media?parent=8464"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/categories?post=8464"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/tags?post=8464"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}