{
	"id": "32901a98-5c6a-4b18-84f5-0fd09f4747a9",
	"created_at": "2026-04-06T00:13:17.982993Z",
	"updated_at": "2026-04-10T13:12:33.074465Z",
	"deleted_at": null,
	"sha1_hash": "0330eb2510560c4ccf665d7c95dd00f9a825bd3b",
	"title": "Операция TA505, часть четвертая. Близнецы",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 851286,
	"plain_text": "Операция TA505, часть четвертая. Близнецы\r\nBy ptsecurity\r\nPublished: 2019-11-11 · Archived: 2026-04-05 14:35:37 UTC\r\nПродолжаем рассказывать о деятельности хакерской группировки TA505. Всем известная фраза «новое —\r\nэто хорошо забытое старое» как нельзя лучше подходит в качестве эпиграфа к очередной главе\r\nповествования о группе TA505. Правда, в этот раз «старое» не столько «забыто», сколько переработано и\r\nулучшено.\r\nВ начале сентября мы обнаружили несколько вредоносных загрузчиков, упакованных специальным PE-пакером группы, о котором мы писали ранее. На первый взгляд они были похожи на хорошо известные\r\nстейджеры бэкдора FlawedAmmyy. Но более глубокий анализ показал, что это не так. Не самые передовые\r\nтехники написания кода вывели нас на кардинально противоположные полезные нагрузки по качеству\r\nисполнения.\r\nВ этой статье мы подробнее рассмотрим найденные инструменты и проведем параллели с тем, что уже\r\nизвестно.\r\nЗагрузчик Twein\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 1 of 16\n\nПрежде всего любопытно следующее: из всех образцов загрузчиков, которые нам удалось собрать, лишь\r\nодин имеет цифровую подпись:\r\nРис. 1. Цифровая подпись загрузчика\r\nСертификат выдан на имя PEAR SOLUTIONS LTD. К слову, это не первый случай, когда группировка\r\nподписывает свои инструменты, выдавая их за легитимное ПО фиктивных организаций. Вот несколько\r\nдругих имен, которые использовали TA505 для других семейств ВПО:\r\nET HOMES LTD,\r\nFIT AND FLEX LIMITED,\r\nMISHA LONDON LTD,\r\nSATOJI KAIDA MB,\r\nVERY TELE LIMITED.\r\nТак как обнаруженные загрузчики между собой не различаются, выберем вышеупомянутый подписанный\r\nи остановимся на нем подробнее.\r\nНа протяжении работы ВПО практически каждое действие сопровождается записью в файл журнала и\r\nотладочным выводом всего происходящего:\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 2 of 16\n\nРис. 2. Отладочный вывод и журналирование\r\nТакая трассировка не только упрощает статический разбор файла, но и помогает обнаружить неладное в\r\nсистемах динамического анализа:\r\nРис. 3. Отладочный вывод в онлайн-анализаторе ANY.RUN\r\nТроян проверяет языковую раскладку клавиатуры — и не работает в России и странах ближнего\r\nзарубежья:\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 3 of 16\n\nРис. 4. Проверка языковой раскладки клавиатуры\r\nЗатем создает мьютекс Global\\system32_mutant_service и проверяет доступность интернета с помощью\r\nHTTP GET-запроса к google.com. После этого определяет способ выхода в сеть (выделенный адрес или\r\nNAT) путем определения внешнего IP-адреса сервисами myexternalip.com, ipecho.net и ifconfig.me и\r\nсравнения полученного значения с указанными в сетевых параметрах системы:\r\nРис. 5. Сопоставление внутреннего и внешнего IP-адресов\r\nДалее вредонос определяет версию библиотеки %SystemRoot%\\system32\\crypt32.dll и, в случае если\r\nномер сборки и номер ревизии меньше, чем 7601 и 18741 соответственно, загружает и устанавливает\r\nобновление KB3033929 согласно версии операционной системы:\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 4 of 16\n\nРис. 6. Загрузка и установка обновления системы\r\nЗлоумышленники из TA505 заботятся о жертве и патчат систему по мере необходимости? Вовсе нет.\r\nУстановка обновления связана с прекращением поддержки сертификатов безопасности кода, подписанных\r\nс помощью SHA-1, и отказом от него в пользу алгоритма SHA-2. Вероятнее всего, хакеры уже\r\nсталкивались со сложностями запуска подписанных полезных нагрузок на необновленных системах.\r\nИнтересно, что после установки обновления троян отправляет сформированный журнал действий на\r\nуправляющий сервер, прекращает свою работу и самоудаляется, подчищая оставленные следы.\r\nРис. 7. Завершение работы после установки обновления системы\r\nВ случае если установка обновления не требуется, загрузчик собирает и отправляет следующую\r\nинформацию на управляющий сервер:\r\nинформация о системе,\r\nинформация об установленном ПО,\r\nинформация о подписанном ПО в каталогах %ProgramFiles% и %ProgramFiles(x86)% (если есть),\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 5 of 16\n\nинформация о подписанных драйверах в каталоге %SystemRoot%\\drivers.\r\nОтметим, что для получения информации о подписях был использован легитимный код.\r\nРис. 8. Получение информации о сертификате\r\nПосле этого загрузчик создает каталог C:\\Windows\\Logs\\diag и запускает поток, в котором отслеживает\r\nизменения в каталоге, отправляя уведомления на управляющий сервер:\r\nРис. 9. Мониторинг изменений в каталоге\r\nЗатем подготавливает уже имеющуюся и недостающую информацию о системе (имя пользователя, версия\r\nсистемы, домен, IP-адрес, информация о видеокарте, подключение к сети — NAT или не NAT) и\r\nформирует JSON-файл такого вида:\r\n{\r\n \"adm\": \"0\",\r\n \"bid\": \"M3xwwhqLH/AUOhmU2+W55A==\",\r\n \"bit\": \"1\",\r\n \"bnet\": \"ldr\",\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 6 of 16\n\n\"cam\": \"0\",\r\n \"cis\": \"0\",\r\n \"dmn\": \"WORKGROUP\",\r\n \"hash_r\": \"0\",\r\n \"lip\": \"192.168.100.153\",\r\n \"lvl\": \"0\",\r\n \"nat\": \"1\",\r\n \"osb\": \"0\",\r\n \"osv\": \"Windows 7 Professional\",\r\n \"pc\": \"USER-PC\",\r\n \"proc_c\": \"0\",\r\n \"proc_n\": \"cpu\",\r\n \"rep\": 0,\r\n \"tmt\": \"0\",\r\n \"ver\": \"163\",\r\n \"video\": \"Standard VGA Graphics Adapter,\"\r\n}\r\nПозже эти данные будут зашифрованы RC4 (ключ шифрования gJypA9RWUlYpnBbzujVqE6fDcEAk0zoz зашит\r\nв теле трояна), закодированы с помощью Base64 и отправлены HTTP POST-запросом на управляющий\r\nсервер:\r\nРис. 10. HTTP POST-запрос на управляющий сервер\r\nРис. 11. Список управляющих серверов в теле загрузчика\r\nОтвет от сервера расшифровывается RC4 (ключ шифрования тот же, что использовался при отправке\r\nданных) и проверяется: первые два байта должны соответствовать строке MZ, что является признаком PE-файла. Мы уже встречали такую последовательность ранее, когда анализировали другой загрузчик группы,\r\nкоторый доставлял FlawedAmmyy RAT:\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 7 of 16\n\nРис. 12. Схожий код расшифровки и проверки загруженного файла у рассматриваемого загрузчика (слева)\r\nи загрузчика FlawedAmmyy RAT (справа)\r\nЗагрузка полезной нагрузки происходит не только в главном потоке, но и в отдельно создаваемом. Другими\r\nсловами, полезных нагрузок — две. В одном случае предварительно проверяется мьютекс\r\nGlobal\\system32_host_service, и в случае его отсутствия выполняется загрузка компонента, который\r\nименуется в отладочной информации как payload или bot. Интересно то, что после получения ответа от\r\nсервера PE-файл никаким образом не запускается. Вместо этого его тело записывается в реестр в раздел\r\nHKEY_LOCAL_MACHINE\\SYSTEM в ключ 0x228028 . Затем загрузчик отключает перенаправление файловой\r\nсистемы WoW64 для 32-битных приложений средствами Wow64DisableWow64FsRedirection и запускает\r\nпроцесс %SystemRoot%\\System32\\services.exe с параметром -ww. Использование этого параметра не имеет\r\nсмысла, но на этом заканчивается цепочка установки полученного пейлоада.\r\nРис. 13. Установка полезной нагрузки\r\nПро вторую полезную нагрузку мы поговорим позднее.\r\nTwein-плагины\r\nИсследуя рассмотренный выше троян, мы обратили внимание на функцию, которая удаляет два файла из\r\nкаталога %SystemRoot% — twein_32.dll и twein_64.dll :\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 8 of 16\n\nРис. 14. Удаление файлов twein_32.dll и twein_64.dll\r\nБольше эти файлы нигде не встречаются, не фигурируют в логике работы загрузчика. Однако имена\r\nбиблиотек напомнили нам другое ВПО группы, которое мы сейчас рассмотрим.\r\nДвумя месяцами ранее мы обнаружили троян группы TA505, размером около 9 МБ. Файл упакован UPX.\r\nТроян устанавливается в систему в качестве сервиса WMDICToss . В ресурсах содержатся три файла:\r\nsystemdiron.bat , twein__32.dll и twein__64.dll , которые зашифрованы линейным XOR.\r\nРис. 15. Расшифровка одного из ресурсов дроппера\r\nОбратим внимание, что имена двух файлов практически совпадают с уже упомянутыми ранее: разница\r\nлишь в количестве знаков подчеркивания.\r\nОдин из расшифрованных ресурсов с именем systemdiron.bat ожидаемо представляет собой командный\r\nсценарий, который обеспечивает запуск других компонентов в зависимости от разрядности системы:\r\n@echo off\r\nif defined PROCESSOR_ARCHITEW6432 (goto LABEL_X64)\r\nif %PROCESSOR_ARCHITECTURE%==IA64 (goto LABEL_X64)\r\nif %PROCESSOR_ARCHITECTURE%==AMD64 (goto LABEL_X64)\r\nif %PROCESSOR_ARCHITECTURE%==x86 (goto LABEL_X86)\r\ngoto LABEL_NON\r\n:LABEL_X64\r\necho OS type: x64\r\ncopy c:\\temp\\tmp.log c:\\i.txt\r\nrundll32.exe C:\\Windows\\twein__64.dll,Install\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 9 of 16\n\ncopy c:\\temp\\tmp.log c:\\i.txt\r\nrundll32.exe C:\\Windows\\twein__32.dll,Install\r\ndel c:\\temp\\tmp.log\r\ndel c:\\i.txt\r\nshutdown.exe -r -t 00\r\ngoto LABEL_END\r\n:LABEL_X86\r\necho OS type: x86\r\ncopy c:\\temp\\tmp.log c:\\i.txt\r\nrundll32.exe C:\\Windows\\twein__32.dll,Install\r\ndel c:\\temp\\tmp.log\r\ndel c:\\i.txt\r\nshutdown.exe -r -t 00\r\ngoto LABEL_END\r\n:LABEL_NON\r\necho OS type: undefined\r\ngoto LABEL_END\r\n:LABEL_END\r\npause\r\nОбе twein-библиотеки действуют аналогично. Упакованы характерным пакером группы TA505.\r\nОригинальные имена библиотек: av_block.dll . Анализ существенно усложнен использованием\r\nобфускатора, причем доля обфусцированного кода составляет около 80%. Вследствие этого выполнение\r\nпрограммы насыщено многочисленными переходами, расшифровками следующих ступеней кода,\r\nнелинейными вызовами функций.\r\nБиблиотеки содержат внушительный список Base64-подобных строк, которые расшифровываются\r\nследующим образом:\r\n1. входная строка разделяется на блоки по 4 байта;\r\n2. каждый блок декодируется с помощью алгоритма замены и сдвига:\r\nimport binascii\r\ndef block_decode(input_str, len_of_block):\r\nalphabet = '\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x0\r\nint_result = 0\r\nfor i in range(len_of_block):\r\nalph = ord(alphabet[ord(input_str[i])])\r\nalph \u003c\u003c= 0x6 * i\r\nint_result += alph\r\nstr_result = hex(int_result)[2:]\r\nif len(str_result) % 2 != 0:\r\nstr_result = '0' + str_result\r\nreturn binascii.unhexlify(str_result).decode('latin1')[::-1]\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 10 of 16\n\n3) блоки собираются в единую строку;\r\n4) результат расшифровывается алгоритмом eexec с двухбайтовым ключом, передаваемым в качестве\r\nпараметра:\r\nРис. 16. Реализация алгоритма eexec\r\nБóльшая часть строк — имена и пути до файлов антивирусных продуктов, однако некоторые из них\r\nпринадлежат вовсе не защитным средствам: MS Exchange Server, MySQL Server, SAP, Apache, PostgreSQL,\r\nElasticsearch и др. Встречались даже такие уникальные пути:\r\nC:\\Users\\tislam\\Desktop\\salik app\\Aye_salik_data\\Aye_salik_data\\bin\\Debug\\Aye_salik_data.exe\r\nC:\\oem13c\\agent13c\\agent_13.2.0.0.0\\perl\\bin\\perl.exe\r\nC:\\Users\\adadmin\\Ubiquiti UniFi\\bin\\mongod.exe\r\nC:\\Users\\sakella\\AppData\\Local\\Microsoft\\OneDrive\\OneDrive.exe\r\nD:\\Add-ons\\IMI_CREDIT_POLICY Test v 02.01\\IMI_CREDIT_POLICY.exe\r\nЕсли в системе обнаружено ПО из списка — файлы и каталоги удаляются.\r\nДля закрепления в системе библиотеки устанавливают себя в качестве интерфейса сервис-провайдера\r\n(SPI) Windows Sockets, именуясь Intel и IntelFiltr. Помимо этого, они изменяют очередность обработчиков в\r\nцепочке протоколов, чтобы быть первым SPI, который обработает запрос клиента.\r\nВ 2015 году наши коллеги из FireEye представили разбор бота LatentBot. Любопытно, что алгоритм\r\nшифрования строк в LatentBot и рассмотренных twein-библиотеках полностью совпадает. Кроме этого,\r\nLatentBot использует в качестве одного из плагинов security-модуль, который ищет в системе защитные\r\nсредства по заданным путям и названиям продуктов, правда только проверкой наличия и ограничивается.\r\nРуткит Twein\r\nВернемся к загрузчику, а именно ко второй полезной нагрузке. По отладочным строкам try to open rootkit…\r\nи Driver %S installed несложно догадаться о формате следующего пейлоада. После успешной загрузки\r\nдрайвер будет записан в каталог %SystemRoot%\\System32\\drivers с именем, сформированным\r\nпсевдопроизвольным образом из имен других легитимных файлов. Затем сервис будет создан и запущен:\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 11 of 16\n\nРис. 17. Установка и запуск сервиса\r\nВ завершающей стадии своей работы загрузчик сконфигурирует работу драйвера черными списками в\r\nключах реестра: в заданные числовые значения ключей ветки HKEY_LOCAL_MACHINE\\SYSTEM будут занесены\r\nимена антивирусных процессов, инструментов анализа и вендоров защитных средств в цифровых\r\nподписях файлов:\r\nРис. 18. Конфигурация драйвера черными списками\r\nВ процессе исследования загрузчика нам не удалось получить образец драйвера от управляющего сервера.\r\nОднако мы нашли упоминание о рутките, который выкачивался другим аналогичным загрузчиком.\r\nДрайвер подписан цифровой подписью, выданной на имя Lizas Limited с указанием\r\nadministrator@lizaslimited.site в качестве электронной почты:\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 12 of 16\n\nРис. 19. Цифровая подпись драйвера\r\nВ процессе исследования мы обнаружили много общего с хорошо известным руткитом ботнета Necurs,\r\nкоторый активно использовала группа TA505 для рассылки спама и распространения ВПО. Рассмотрим\r\nподробнее наиболее интересные особенности его работы.\r\nДрайвер регистрирует обработчики событий на запуск процессов и загрузку PE-образов средствами\r\nPsSetCreateProcessNotifyRoutine и PsSetLoadImageNotifyRoutine . Другими словами, это позволяет\r\nдрайверу проконтролировать запуск всех новых процессов и сервисов. Используя черные списки, о\r\nкоторых мы упоминали ранее, руткит завершает нежелательные процессы с помощью ZwTerminateProcess\r\nи не дает загрузиться другим, потенциально опасным для него драйверам, перезаписывая значение точки\r\nвхода на инструкции:\r\nmov eax, 0C0000001\r\nretn 8\r\nКак следствие, сервис будет штатно выгружен с ошибкой STATUS_UNSUCCESSFULL .\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 13 of 16\n\nРис. 20. Завершение процессов\r\nРис. 21. Перезапись точки входа драйверов\r\nСредствами CmRegisterCallback драйвер перехватывает события доступа к реестру системы. В частности,\r\nего дальнейшая работа параметризуется числовыми значениями ключей, к которым происходит обращение\r\nв перехваченных событиях.\r\nРис. 22. Управление руткитом обращениями к ключам реестра\r\nЛюбопытно, что в некоторых версиях руткита Necurs те же самые числовые значения использовались в\r\nкачестве кодов ioctl-запросов.\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 14 of 16\n\nРис. 23. Управление руткитом Necurs с помощью ioctl-запросов\r\nЭтот трюк можно расценивать как шаг в сторону большей скрытности: обращения к реестру вызывают\r\nменьше подозрений, чем ioctl-запросы к DeviceObject.\r\nВ теле руткита содержится вспомогательная DLL-библиотека, зашифрованная однобайтовым XOR. При\r\nсоздании нового процесса драйвер инжектирует библиотеку вместе с еще одним PE-файлом, который\r\nизвлекается из реестра и снова расшифровывается однобайтовым XOR.\r\nРис. 24. Расшифровка и инжект вспомогательной библиотеки в созданный процесс\r\nВспомогательный компонент представляет собой кастомный рефлективный загрузчик, который корректно\r\nразместит в памяти второй PE-файл, выполняющий роль полезной нагрузки, и передаст на него\r\nуправление. Теперь становится понятно, как именно начинает работать тот пейлоад, который записывался\r\nв реестр загрузчиком из первой части статьи.\r\nРис. 25. Заполнение таблицы импорта вспомогательной библиотекой\r\nЗаключение\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 15 of 16\n\nВ статье мы познакомились с особенностями работы множества троянов-близнецов. Почему близнецов?\r\nВредоносный загрузчик, с которого мы начинали наше исследование, по качеству написания кода и\r\nнюансам реализации очень похож на хорошо известный загрузчик бэкдора FlawedAmmyy. Библиотеки\r\ntwein, которые он пытается удалить из системы, — вероятнее всего, те, которые мы рассматриваем дальше.\r\nБиблиотеки крайне схожи с защитным плагином трояна LatentBot. Один из пейлоадов загрузчика —\r\nдрайвер, являющийся производной популярного руткита Necurs.\r\nНекоторым семействам ВПО уже более 5 лет, однако злоумышленники продолжают их обновлять и\r\nсовершенствовать, учитывая при этом развитие операционных систем и средств защиты.\r\nАвторы: Алексей Вишняков и Даниил Колосков, Positive Technologies\r\nIOCs\r\na28a54abc30805cc6ea2ce0732989287 — загрузчик Twein\r\nf6b6526b8d494dce14568e3703368432 — дроппер twein-плагинов\r\n983dd279722154a12093410067fe070e — руткит Twein\r\nПредыдущие статьи цикла:\r\nОперация TA505: как мы анализировали новые инструменты создателей трояна Dridex,\r\nшифровальщика Locky и ботнета Neutrino. Часть 1\r\nОперация TA505: изучаем бэкдор ServHelper с NetSupport RAT. Часть 2\r\nОперация TA505: сетевая инфраструктура группировки. Часть 3\r\nSource: https://habr.com/ru/company/pt/blog/475328/\r\nhttps://habr.com/ru/company/pt/blog/475328/\r\nPage 16 of 16",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://habr.com/ru/company/pt/blog/475328/"
	],
	"report_names": [
		"475328"
	],
	"threat_actors": [
		{
			"id": "5e6b31a6-80e3-4e7d-8b0a-d94897ce9b59",
			"created_at": "2024-06-19T02:03:08.128175Z",
			"updated_at": "2026-04-10T02:00:03.636663Z",
			"deleted_at": null,
			"main_name": "GOLD TAHOE",
			"aliases": [
				"Cl0P Group Identity",
				"FIN11 ",
				"GRACEFUL SPIDER ",
				"SectorJ04 ",
				"Spandex Tempest ",
				"TA505 "
			],
			"source_name": "Secureworks:GOLD TAHOE",
			"tools": [
				"Clop",
				"Cobalt Strike",
				"FlawedAmmy",
				"Get2",
				"GraceWire",
				"Malichus",
				"SDBbot",
				"ServHelper",
				"TrueBot"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "75d4d6a9-b5d1-4087-a7a0-e4a9587c45f4",
			"created_at": "2022-10-25T15:50:23.5188Z",
			"updated_at": "2026-04-10T02:00:05.26565Z",
			"deleted_at": null,
			"main_name": "TA505",
			"aliases": [
				"TA505",
				"Hive0065",
				"Spandex Tempest",
				"CHIMBORAZO"
			],
			"source_name": "MITRE:TA505",
			"tools": [
				"AdFind",
				"Azorult",
				"FlawedAmmyy",
				"Mimikatz",
				"Dridex",
				"TrickBot",
				"Get2",
				"FlawedGrace",
				"Cobalt Strike",
				"ServHelper",
				"Amadey",
				"SDBbot",
				"PowerSploit"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "99cb4e5b-8071-4f9e-aa1d-45bfbb6197e3",
			"created_at": "2023-01-06T13:46:38.860754Z",
			"updated_at": "2026-04-10T02:00:03.125179Z",
			"deleted_at": null,
			"main_name": "TA505",
			"aliases": [
				"SectorJ04",
				"SectorJ04 Group",
				"ATK103",
				"GRACEFUL SPIDER",
				"GOLD TAHOE",
				"Dudear",
				"G0092",
				"Hive0065",
				"CHIMBORAZO",
				"Spandex Tempest"
			],
			"source_name": "MISPGALAXY:TA505",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "e447d393-c259-46e2-9932-19be2ba67149",
			"created_at": "2022-10-25T16:07:24.28282Z",
			"updated_at": "2026-04-10T02:00:04.921616Z",
			"deleted_at": null,
			"main_name": "TA505",
			"aliases": [
				"ATK 103",
				"Chimborazo",
				"G0092",
				"Gold Evergreen",
				"Gold Tahoe",
				"Graceful Spider",
				"Hive0065",
				"Operation Tovar",
				"Operation Trident Breach",
				"SectorJ04",
				"Spandex Tempest",
				"TA505",
				"TEMP.Warlock"
			],
			"source_name": "ETDA:TA505",
			"tools": [
				"Amadey",
				"AmmyyRAT",
				"AndroMut",
				"Azer",
				"Bart",
				"Bugat v5",
				"CryptFile2",
				"CryptoLocker",
				"CryptoMix",
				"CryptoShield",
				"Dridex",
				"Dudear",
				"EmailStealer",
				"FRIENDSPEAK",
				"Fake Globe",
				"Fareit",
				"FlawedAmmyy",
				"FlawedGrace",
				"FlowerPippi",
				"GOZ",
				"GameOver Zeus",
				"GazGolder",
				"Gelup",
				"Get2",
				"GetandGo",
				"GlobeImposter",
				"Gorhax",
				"GraceWire",
				"Gussdoor",
				"Jaff",
				"Kasidet",
				"Kegotip",
				"Kneber",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"Locky",
				"MINEBRIDGE",
				"MINEBRIDGE RAT",
				"MirrorBlast",
				"Neutrino Bot",
				"Neutrino Exploit Kit",
				"P2P Zeus",
				"Peer-to-Peer Zeus",
				"Philadelphia",
				"Philadephia Ransom",
				"Pony Loader",
				"Rakhni",
				"ReflectiveGnome",
				"Remote Manipulator System",
				"RockLoader",
				"RuRAT",
				"SDBbot",
				"ServHelper",
				"Shifu",
				"Siplog",
				"TeslaGun",
				"TiniMet",
				"TinyMet",
				"Trojan.Zbot",
				"Wsnpoem",
				"Zbot",
				"Zeta",
				"ZeuS",
				"Zeus"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434397,
	"ts_updated_at": 1775826753,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/0330eb2510560c4ccf665d7c95dd00f9a825bd3b.pdf",
		"text": "https://archive.orkl.eu/0330eb2510560c4ccf665d7c95dd00f9a825bd3b.txt",
		"img": "https://archive.orkl.eu/0330eb2510560c4ccf665d7c95dd00f9a825bd3b.jpg"
	}
}