{
	"id": "bef1d1ec-e2cd-429e-84c8-1be99a6fea09",
	"created_at": "2026-04-06T00:14:47.939382Z",
	"updated_at": "2026-04-10T03:37:21.674456Z",
	"deleted_at": null,
	"sha1_hash": "2a4d8e3c95b83ec8a144bbd4dd83203276b21a2c",
	"title": "Space Pirates: исследуем инструменты и связи новой хакерской группировки",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2048068,
	"plain_text": "Space Pirates: исследуем инструменты и связи новой хакерской\r\nгруппировки\r\nBy Positive Technologies\r\nPublished: 2022-05-17 · Archived: 2026-04-05 17:09:44 UTC\r\n1. Введение\r\n2. Общие сведения\r\n3. Анализ ВПО и инструментов\r\n1. MyKLoadClient\r\n1. Схема 1\r\n2. Схема 2\r\n3. Тестовый образец\r\n4. Полезная нагрузка\r\n2. Zupdax\r\n1. Полезная нагрузка\r\n2. Связь с Redsip\r\n3. Связи с Winnti и FF-RAT\r\n4. Связи с Bronze Union и TA428\r\n3. Загрузчики\r\n1. Downloader.Climax.A\r\n2. Downloader.Climax.B\r\n4. RtlShare\r\n1. Дроппер rtlstat.dll\r\n2. Инжектор rtlmake.dll\r\n3. Полезная нагрузка rtlmain.dll (rtlmainx64.dll)\r\n4. Использование RtlShare\r\n5. PlugX\r\n1. Demo dropper\r\n6. BH_A006\r\n1. Стадия 0. Загрузка DLL из оверлея\r\n2. Стадия 1. DLL-дроппер\r\n3. Стадия 2. Загрузчик .dat (SbieDll.dll / SbieMsg.dll)\r\n4. Стадия 3. Шеллкод .dat и DLL\r\n5. Стадия 4. MemLoadLibrary\r\n6. Стадия 5. Полезная нагрузка\r\n7. Связь с 9002 RAT\r\n7. Deed RAT\r\n4. Заключение\r\n5. Приложения\r\n1. MITRE\r\n2. IOCs\r\n1. Файловые индикаторы\r\n2. Сетевые индикаторы\r\nВведение\r\nВ конце 2019 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT\r\nESC) обнаружили фишинговое письмо, нацеленное на одно из предприятий авиационно-космической отрасли\r\nРоссии. Оно содержало ссылку на ранее неизвестное вредоносное ПО. Такое же ВПО наши эксперты обнаружили в\r\n2020 году при расследовании инцидента ИБ в одной из российских государственных организаций. В ходе этих работ\r\nбыло также обнаружено несколько новых вредоносных семейств, использующих общую сетевую инфраструктуру,\r\nпри этом часть из них ранее не упоминалась в открытых источниках.\r\nЛетом 2021 года PT Expert Security Center выявил следы компрометации другого предприятия. Организация была\r\nпроинформирована. В результате расследования мы обнаружили на ее компьютерах соединения с той же самой\r\nсетевой инфраструктурой. Дальнейшее исследование позволило определить еще как минимум две организации в\r\nРоссии, атакованные с использованием этого же ВПО и сетевой инфраструктуры, обе — с государственным\r\nучастием.\r\nВыявленную вредоносную активность не удалось однозначно связать с какой-либо из известных хакерских групп,\r\nпоэтому мы дали атакующим новое имя — Space Pirates. Поводом для названия послужила строка P1Rat,\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 1 of 43\n\nиспользованная злоумышленниками в PDB-путях, и нацеленность некоторых атак на авиационно-космическую\r\nотрасль. В этом отчете описывается обнаруженная активность группировки, особенности используемого ею ВПО, а\r\nтакже ее связи с другими APT-группами.\r\nОбщие сведения\r\nМы предполагаем, что Space Pirates имеет азиатские корни: на это указывает активное использование китайского\r\nязыка в ресурсах, SFX-архивах и путях к PDB-файлам. Кроме того, в арсенал группы входят распространенные в\r\nсреде хакеров азиатского происхождения билдер Royal Road RTF (или 8.t) и бэкдор PcShare, а почти все пересечения\r\nс уже известной активностью связаны с APT-группировками азиатского региона.\r\nСвою активность группа начала не позднее 2017 года. Основными целями злоумышленников являются шпионаж и\r\nкража конфиденциальной информации. Среди жертв, которых удалось выявить в ходе исследования угроз, —\r\nгосударственные учреждения и ИТ-департаменты, предприятия авиационно-космической и электроэнергетической\r\nотраслей в России, Грузии и Монголии. При этом в России атакованы по крайней мере пять организаций, в Грузии\r\n— одна, а точное число жертв в Монголии неизвестно.\r\nНекоторые атаки с использованием зловредов APT-группы также были нацелены на китайские компании,\r\nработающие в области финансов, что может говорить о наличии денежной мотивации. Все потенциальные жертвы\r\nбыли уведомлены по линии национальных CERT.\r\nПо меньшей мере две атаки на российские организации можно считать успешными. В первом случае\r\nзлоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10\r\nмесяцев. За это время было похищено более 1500 внутренних документов, а также информация обо всех учетных\r\nзаписях сотрудников в одном из сетевых доменов. Во втором случае атакующим удалось закрепиться в сети\r\nкомпании более чем на год, получить сведения о входящих в сеть компьютерах и установить свое ВПО по крайней\r\nмере на 12 корпоративных узлов в трех различных регионах.\r\nВ инструментарий Space Pirates входят уникальные загрузчики и несколько бэкдоров, ранее нам не встречавшихся,\r\nи, предположительно, специфичных для группы: MyKLoadClient, BH_A006, Deed RAT. Злоумышленники также\r\nимеют доступ к бэкдору Zupdax: его современные варианты используют аналогичную MyKLoadClient схему\r\nисполнения, однако код самого бэкдора берет начало в 2010 году и не может быть однозначно привязан к группе.\r\nКроме того, атакующие используют и хорошо известное ВПО: PlugX, ShadowPad, Poison Ivy, модифицированный\r\nвариант PcShare и публичный шелл ReVBShell. Для туннелирования трафика применяется утилита dog-tunnel.\r\nОсновная сетевая инфраструктура группы задействует небольшое количество IP-адресов, на которые указывают\r\nDDNS-домены. Интересно, что злоумышленники при этом используют домены не только третьего уровня, но также\r\nчетвертого и последующих, например w.asd3.as.amazon-corp.wikaba.com.\r\nВ процессе исследования деятельности Space Pirates мы обнаружили большое число пересечений с ранее\r\nвыявленной активностью, которую исследователи связывают с группами Winnti (APT41), Bronze Union (APT27),\r\nTA428, RedFoxtrot, Mustang Panda и Night Dragon. Причиной этого, вероятно, является обмен инструментарием\r\nмежду группировками — частое явление для APT-групп азиатского региона.\r\nОтдельно стоит отметить связь групп Space Pirates и TA428. В рамках одного из расследований мы наблюдали на\r\nзараженных компьютерах активность обеих группировок, которая, однако, не имела пересечений в сетевой\r\nинфраструктуре. В то же время в ходе операции StealthyTrident, описанной ESET, атакующие использовали Tmanger,\r\nприписываемый TA428, и Zupdax, связанный со Space Pirates. Связь другого ВПО TA428, в частности Albaniiutas\r\n(RemShell), и Zupdax можно проследить и в сетевой инфраструктуре, смежной с упомянутой в отчете ESET. Все это\r\nпозволяет предполагать, что Space Pirates и TA428 могут объединять свои усилия и делиться инструментами,\r\nсетевыми ресурсами и доступом к зараженным системам.\r\nКлючевые связи между затронутыми организациями, семействами ВПО и фрагментами сетевой инфраструктуры, а\r\nтакже публичной информацией об атакующих можно увидеть на рис. 1. Далее в отчете мы расскажем о них\r\nподробнее.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 2 of 43\n\nРисунок 1. Ключевые связи\r\nАнализ ВПО и инструментов\r\nMyKLoadClient\r\nДанное вредоносное ПО использовалось в атаках на российские организации, включая государственные\r\nучреждения и предприятия из авиационно-космической отрасли, и часто распространялось с помощью целевого\r\nфишинга. Как показывает анализ писем, жертвами также становились китайские компании, предоставляющие\r\nфинансовые сервисы.\r\nСреди обнаруженных нами экземпляров ВПО с MyKLoadClient можно выделить две типичные схемы исполнения.\r\nПервая (далее также — схема 1) опирается на использование SFX-архивов в качестве дропперов, применяет технику\r\nDLL Side-Loading и использует вспомогательную библиотеку-лончер AntiVirusLoader.dll. Вторая (далее — схема 2)\r\nвключает в себя только самописный дроппер, который передает управление полезной нагрузке напрямую. При этом\r\nво втором случае закрепление в системе в коде не предусмотрено.\r\nСтоит отметить, что, по известным нам данным, прослеживается явная взаимосвязь между целями\r\nзлоумышленников и выбором схемы исполнения: экземпляры с использованием схемы 1 были нацелены на\r\nроссийские организации, тогда как схема 2 использовалась в атаках на китайские компании. Если опираться на даты\r\nмодификации и компиляции файлов (которые, однако, могли быть подменены), такое же разделение можно\r\nпроследить и по времени: схема 1, предположительно, использовалась в 2018–2019 годах, а схема 2 — в 2020 году.\r\nВозможно, злоумышленники обновили цепочку исполнения примененного ранее ВПО, чтобы уменьшить\r\nвероятность его обнаружения в новых атаках.\r\nСхема 1\r\nХарактерным примером экземпляра с первой схемой исполнения является файл с именем Петербургский\r\nмеждународный экономический форум (ПМЭФ)____2019.exe\r\n(d3a50abae9ab782b293d7e06c7cd518bbcec16df867f2bdcc106dec1e75dc80b). Файл представляет собой SFX-архив,\r\nкоторый извлекает документ-приманку 0417.doc и еще один SFX-архив с именем apple.exe. Файлы в архиве\r\nмодифицированы в апреле 2019 года. Документ содержит текст с описанием ПМЭФ, соответствующим\r\nдействительности.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 3 of 43\n\nРисунок 2. Содержимое приманки 0417.doc\r\nВторой SFX-архив извлекает из себя три PE-файла: легитимный siteadv.exe, лончер siteadv.dll и библиотеку с\r\nполезной нагрузкой cc.tmp. Отметим, что в изученных нами экземплярах с первой схемой исполнения не всегда есть\r\nприманка. Однако во всех случаях применяется подобный SFX-архив, содержащий файлы с теми же именами и\r\nназначением.\r\nРисунок 3. Содержимое архива apple.exe\r\nИсполняемый EXE-файл подписан McAfee, Inc. и является компонентом установщика McAfee SiteAdvisor. При\r\nзапуске он загружает библиотеку siteadv.dll, которая отвечает за установку и запуск полезной нагрузки. В ресурсах\r\nлончера присутствует конфигурация, зашифрованная RC4 с ключом TDILocker и содержащая необходимые пути,\r\nимена ключей реестра и флаги.\r\nРисунок 4. Фрагмент кода siteadv.dll\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 4 of 43\n\nЛончер предусматривает несколько возможных команд, которые передаются через аргументы командной строки и\r\nотвечают за одну из стадий исполнения:\r\nКоманда Описание\r\nstat\r\nКоманда, с которой начинается установка. Перезапускает процесс, в который загружена библиотека\r\n(siteadv.exe), с командой install_del. Дополнительно передает путь к родительскому процессу.\r\ninstall_del\r\nЗакрепляется на зараженном компьютере (ключ реестра указан в конфигурации). При этом\r\nиспользуется путь к файлу siteadv.exe с аргументом run или mrun. Удаляет файл, заданный третьим\r\nаргументом (путь к родительскому процессу). Запускает полезную нагрузку так же, как команда\r\nrun.\r\nrun\r\nЗагружает DLL с полезной нагрузкой через LoadLibrary и выполняет экспортируемую из нее\r\nфункцию (имя указано в конфигурации).\r\nmrun Не реализована.\r\nins Не реализована.\r\nПомимо основной экспортируемой функции main, которая вызывается легитимным siteadv.exe, в siteadv.dll\r\nприсутствует неиспользуемый экспорт buc_uninstallinterface, отвечающий за обход UAC с использованием\r\nкомпонента IARPUninstallStringLauncher.\r\nБиблиотека лончера имеет экспортируемое имя AntiVirusLoader.dll. В некоторых ее экземплярах можно встретить\r\nPDB-путь:\r\nD:\\Leee\\515远程文件\\P1Rat_2017_07_28A\\src\\MyLoader_bypassKIS\\snake\\res\\SiteAdv.pdb.\r\nПолезная нагрузка cc.tmp — это бэкдор, реализованный в виде динамической библиотеки с внутренним именем\r\nclient.dll. Она экспортирует функцию MyKLoad, которая является фактической точкой входа. Функциональность\r\nбэкдора мы рассмотрим ниже.\r\nСхема 2\r\nВ качестве дроппера во второй схеме выступает исполняемый файл, отвечающий за извлечение приманки и\r\nполезной нагрузки. Бинарные данные расположены в теле дроппера и зашифрованы XOR с однобайтовым ключом.\r\nПомимо стандартного запуска извлеченной нагрузки через вызов CreateProcess, дроппер также выполняет\r\nрефлективную загрузку и исполнение EXE-файла непосредственно в текущем процессе.\r\nРисунок 5. Фрагмент кода дроппера\r\nВ некоторых случаях функции дроппера дополнительно обфусцированы с применением техники Control Flow\r\nFlattening.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 5 of 43\n\nРисунок 6. Обфусцированная версия дроппера\r\nВ качестве приманки в изученных нами образцах используется PDF-документ, содержащий сообщение о\r\n«поврежденном файле» на китайском языке, либо приложение-заглушка, которое выводит сообщения 正在更新浏览\r\n器插件，请稍后… (Подключаемый модуль браузера обновляется, подождите …) и 更新完毕，请重启浏览器！\r\n(Обновление завершено, перезапустите браузер!).\r\nРисунок 7. PDF-приманка с текстом «Файл поврежден или несовместим»\r\nПолезная нагрузка в данном случае представляет собой исполняемый файл, в котором указано внутреннее имя\r\nclient.exe. В некоторых образцах также присутствует PDB-путь\r\nC:\\Users\\classone\\Desktop\\src\\client\\exe_debug\\client.pdb.\r\nТестовый образец\r\nНам также удалось обнаружить тестовый вариант ВПО, созданный не позднее 2018 года:\r\nb1d6ba4d995061a0011cb03cd821aaa79f0a45ba2647885171d473ca1a38c098. Это приложение-дроппер.\r\nИнтересно, что оно создано, по-видимому, на основе проекта игры «Змейка». На это указывает несколько деталей:\r\nв начале своей работы приложение создает окно, используя в качестве его имени строку Snake;\r\nприсутствует код, предположительно, отвечающий за логику игры — в частности за генерацию случайных\r\nкоординат очередного куска пищи на поле 50×50 и сравнение их с позицией змейки;\r\nприложение обрабатывает нажатия клавиши «Пробел» и клавиш управления курсором;\r\nв ресурсах приложения есть меню с пунктами на китайском языке: «Старт», «Пауза», «Перезагрузка» и\r\n«Выход».\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 6 of 43\n\nРисунок 8. Меню приложения\r\nПомимо этого, среди ресурсов дроппера также присутствует окно «О программе» (на китайском языке), из\r\nсодержания которого следует, что это вторая версия игры Snake, созданная в 2016 году. Здесь же указан электронный\r\nадрес вероятного автора — mexbochen@foxmail.com.\r\nРисунок 9. Окно «О программе»\r\nПоиск адреса в Google позволяет найти персональную страницу владельца электронной почты — программиста из\r\nКитая, который специализируется на задачах по обработке изображений.\r\nРисунок 10. Сайт-визитка с контактным адресом mexbochen@foxmail.com\r\nНесмотря на наличие связи между приложением и владельцем эл. почты, нельзя однозначно утверждать, что именно\r\nон является автором ВПО. Возможно, в некоторый момент времени проект игры «Змейка» находился в открытом\r\nдоступе, и злоумышленники использовали его как основу для реализации дроппера.\r\nФайлы, извлекаемые дроппером, содержатся в его ресурсах в открытом виде. Помимо этого, ресурсы содержат\r\nзашифрованную конфигурацию, в которой записаны имена файлов — точно такая же конфигурация используется и\r\nв лончере. В момент записи файлов на диск их содержимое шифруется XOR с ключом 0x80, а затем файлы\r\nоткрываются повторно и расшифровываются. Дроппер содержит тот же набор компонентов, что и SFX-архивы\r\n(схема 1): легитимный компонент McAfee SiteAdvisor, DLL-лончер и библиотеку с полезной нагрузкой под именем\r\nClient.obj.\r\nПосле извлечения дроппер формирует командную строку для запуска лончера с командой install (закрепление в\r\nреестре и запуск полезной нагрузки), но в дальнейшем не использует ее. Вероятно, это ошибка: в коде присутствует\r\nотладочное сообщение «CreateProcess success!», но функция CreateProcess не вызывается.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 7 of 43\n\nЛончер тестового образца отличается наличием реализации команды mrun: это вариация команды run, отвечающей\r\nза запуск экспортируемой из DLL функции с полезной нагрузкой. В отличие от run, mrun предварительно\r\nрасшифровывает библиотеку по алгоритму RC4 с ключом GoogleMailData, а для ее исполнения использует\r\nрефлективную загрузку.\r\nПолезная нагрузка Client.obj аналогична cc.tmp (схема 1) и имеет лишь несущественные отличия. В частности,\r\nэкспортируемая библиотекой функция точки входа называется main, а в начале своей работы она отображает\r\nMessageBox с текстом «just a demo for test!!!». Кроме того, конфигурация бэкдора не шифруется и содержит\r\nтестовый C2 127.0.0.1.\r\nПолезная нагрузка\r\nВарианты реализации бэкдора в виде исполняемого файла client.exe и библиотеки client.dll имеют одинаковую\r\nфункциональность. Однако в них по-разному инициализируется структура с параметрами конфигурации, которая\r\nсодержит адрес и порт C2, флаг активности бэкдора, а также строковые идентификаторы ВПО, отправляемые на C2.\r\nВ библиотеке client.dll, так же как и в лончере (схема 1), в ресурсах полезной нагрузки есть конфигурация,\r\nзашифрованная RC4-ключом GoogleMailData. В EXE-варианте структура заполняется фиксированными в коде\r\nзначениями.\r\nВ следующей таблице перечислены обнаруженные нами экземпляры бэкдора и данные, указанные в их\r\nконфигурации, а именно идентификаторы и контрольный сервер. Знак «?» означает, что строка представляет собой\r\nслучайный набор байтов.\r\nSHA-256 полезной нагрузки Схема ID1 ID2 ID3 С2\r\n5847c8b8f54c60db939b045d385aba0795880d92b00d28447d7d9293693f622b 1 pwd\r\nmy\r\nvps\r\ngroup 127.0.0.1\r\n56b9648fd3ffd1bf3cb030cb64c1d983fcd1ee047bb6bd97f32edbe692fa8570 1 pwd\r\nmy\r\nvps\r\n? 207.148.121.88\r\nd0fb0a0379248cdada356da83cd2ee364e0e58f4ed272d3369fe1d6ca8029679 1 pwd\r\nmy\r\nvps\r\n? 207.148.121.88\r\n7b7a65c314125692524d588553da7f6ab3179ceb639f677ed1cefe3f1d03f36e 1 pwd\r\nmy\r\nvps\r\n? 207.148.121.88\r\n3ccae178d691fc95f6c52264242a39daf4c44813d835eaa051e7558b191d19ee 1 pwd\r\nmy\r\nvps\r\n? 207.148.121.88\r\n69863ba336156f4e559364b63a39f16e08ac3a6e3a0fa4ce11486ea16827f772 1 pwd\r\nmy\r\nvps\r\n? micro.dns04.com\r\n949cb5d03a7952ce24b15d6fccd44f9ed461513209ad74e6b1efae01879395b1 1 pwd\r\nmy\r\nvps\r\n? microft.dynssl.com\r\nfa3ecd74b9f329a96b5739bba7b1872ef1ab84bb95f89101a69b6b6e780e2063 - pwd memo group 47.108.89.169\r\n84eb2efa324eba0c2e06c3b84395e9f5e3f28a3c9b86edd1f813807ba39d9acb 2 pwd memo group 47.108.89.169\r\nb822a4ec46aacb3bb4c22fe5d9298210bfa442118ee05a1532c324a5f847a9e6 2 gundan memo group 120.78.127.189\r\n944a3c8293ff068d803f8537b15e6adbad7fa1e789f3dc404ba603a8cb7c22aa 2 gundan memo group 121.89.210.144\r\nСоединение с контрольным сервером происходит по TCP, при этом трафик не шифруется. Сообщения имеют\r\nзаголовок следующей структуры:\r\nstruct PacketHeader{\r\n _DWORD Version; // 0x20170510\r\n _DWORD CommandId;\r\n _DWORD PayloadSize;\r\n _DWORD LastError;\r\n};\r\nВ качестве версии всегда используется константа 0x20170510, вероятно, обозначающая некоторую дату.\r\nВПО имеет несколько классов-модулей, отвечающих за соответствующую функциональность:\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 8 of 43\n\nShellManager — удаленная командная строка;\r\nDiskManager — работа с дисками, установленными в зараженном компьютере;\r\nFileTransferManager — передача файлов;\r\nRS5Manager — использование зараженного компьютера в качестве прокси-сервера.\r\nВ ID каждой команды есть идентификатор модуля, который получается применением маски 0xFF000. Полный\r\nсписок поддерживаемых команд:\r\nID модуля\r\nПолный\r\nID\r\nОписание\r\n0 1 Собрать информацию о зараженной системе\r\n0 3 Завершить работу ВПО\r\n0x2000 (ShellManager) 0x2002\r\nЗапустить процесс cmd.exe и создать поток, отвечающий за отправку\r\nего вывода на C2\r\n0x2003 Отправить команду в оболочку\r\n0x2004 Завершить работу оболочки\r\n0x3000 (DiskManager) 0x3000 Получить список доступных в системе дисков и информацию о них\r\n0x3001 Получить листинг директории\r\n0x4000\r\n(FileTransferManager)\r\n0x4001\r\nИнициализировать передачу файла с зараженного компьютера на C2\r\n(открытие файла для чтения)\r\n0x4008 Прочитать блок данных из ранее открытого файла\r\n0x4004\r\nИнициализировать передачу файла с C2 на зараженный компьютер\r\n(открытие файла для записи)\r\n0x4005 Записать блок данных в ранее открытый файл\r\n0x4006\r\nЗавершить передачу файла на зараженный компьютер и установить\r\nвременные метки\r\n0x4009\r\nЗакрыть открытые файловые дескрипторы и обнулить внутренние\r\nполя\r\n0x4010 Получить рекурсивный листинг директории\r\n0x5000 (RS5Manager) 0x5000\r\nВыполнить инициализацию, создать потоки, отвечающие за\r\nполучение пакетов от удаленного узла и их отправку на C2\r\n0x5001 Создать сокет и подключиться к удаленному узлу\r\n0x5003 Отправить данные в подключенный сокет\r\n0x5004 Закрыть подключенный сокет\r\nВ процессе сбора информации о системе бэкдор создает уникальный идентификатор компьютера (GUID) и\r\nзаписывает его в реестр в один из кустов HKLM или HKCU по ключу Software\\CLASSES\\KmpiPlayer. Если ключ\r\nуже есть в реестре, то используется существующий ID.\r\nZupdax\r\nПервое публичное упоминание данного ВПО можно встретить в отчете Unit 42, посвященном вредоносному\r\nприложению HenBox для платформы Android. В сетевой инфраструктуре HenBox исследователи обнаружили следы\r\nиспользования атакующими ВПО из семейств PlugX, Zupdax, 9002 RAT и Poison Ivy. В 2019 году специалисты Unit\r\n42 объединили наблюдаемую три года активность, связанную с упомянутым набором ВПО, назвав стоящую за ней\r\nгруппу (или группы) именем PKPLUG.\r\nВ 2020 году компания ESET обнаружила следы атаки на цепочку поставок ПО Able Soft LLC. Одним из вариантов\r\nатаки была компрометация инсталлятора Able Desktop, заключающаяся в добавлении к нему вредоносного кода. В\r\nкачестве полезной нагрузки, которая была встроена в инсталляторы, исследователи называют бэкдоры HyperBro и\r\nKorplug (PlugX).\r\nПо имеющимся у нас данным можно утверждать, что полезная нагрузка, обозначенная ESET как Korplug, в\r\nдействительности является бэкдором Zupdax. Такого же мнения придерживаются аналитики NortonLifeLock и Avira,\r\nвыпустившие осенью 2021 года отчет, в котором описали основные особенности Zupdax.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 9 of 43\n\nZupdax существует по крайней мере с 2014 года. В своем исследовании мы фокусировались на образцах,\r\nотносящихся к периоду 2017–2019 годов, однако некоторые детали можно проследить только в более ранних\r\nверсиях (периода 2014–2015 годов). Далее мы будем говорить о них, используя термин «старые».\r\nВ последних версиях Zupdax используется та же схема загрузки, что и в тестовом образце MyKLoadClient. Хотя кода\r\nигры «Змейка» в них нет, основная функциональность дроппера реализована аналогичным образом: в своих\r\nресурсах он содержит легитимный siteadv.exe, библиотеку-лончер, полезную нагрузку и зашифрованную XOR\r\nконфигурацию с именами файлов и флагами. Точно такую же конфигурацию использует лончер.\r\nВ отличие от MyKLoadClient, практически во всех экземплярах с Zupdax полезная нагрузка (которая извлекается под\r\nименем ok.obj) шифруется и запускается методом mrun. Среди экземпляров лончера, которые используются в связке\r\nс Zupdax, можно встретить более функциональные варианты, поддерживающие обход UAC (в частности, с\r\nиспользованием экспорта buc_uninstallinterface) и закрепление в качестве сервиса.\r\nВ экземплярах дроппера и лончера можно встретить соответствующие PDB-пути:\r\nd:\\Leee\\515远程文件\\P1Rat_2017_07_28A\\src\\MyLoaderBypassNorton\\Release\\loaderexe.pdb и\r\nd:\\Leee\\515远程文件\\P1Rat_2017_07_28A\\src\\MyLoader_bypassKIS\\snake\\res\\SiteAdv.pdb.\r\nВарианты ВПО, связанные с атакой на пользователей Able Desktop, также содержат PDB с аналогичной строкой\r\nMyLoader_bypassKIS:\r\nc:\\Users\\PC-2015\\Desktop\\Badger\\En-v2\\免杀\\MyLoader_bypassKIS\\bin\\loaderdll.pdb.\r\nИнтересно, что существует как минимум один экземпляр\r\n(a95dfb8a8d03e9bcb50451068773cc1f1dd4b022bb39dce3679f1b3ce70aa4f9), который полностью идентичен тестовой\r\nверсии MyKLoadClient и содержит точно такое же окно «О программе». При этом полезная нагрузка в нем\r\nпредставляет собой бэкдор Zupdax.\r\nПолезная нагрузка\r\nДля сетевого взаимодействия с C2 бэкдор использует протокол UDT, реализующий передачу данных поверх\r\nпротокола UDP. Сообщения имеют заголовок со структурой, похожей на используемую в MyKLoadClient.\r\nОтличается лишь значение первого поля, равное 0x12345678:\r\nstruct PacketHeader{\r\n _DWORD Magic; // 0x12345678\r\n _DWORD CommandId;\r\n _DWORD PayloadSize;\r\n _DWORD Unknown; // 0\r\n};\r\nСразу же после установки соединения с C2 бэкдор собирает и отправляет информацию о системе, включающую имя\r\nкомпьютера, имя пользователя, версию ОС, информацию об объеме дисков, оперативной памяти и процессоре, а\r\nтакже IP- и MAC-адреса сетевого адаптера. Собранная информация отправляется с ID команды 0x1.\r\nНабор команд, которые бэкдор может обработать, существенно не меняется от версии к версии: его основные\r\nвозможности сводятся к исполнению дополнительного кода, который он может получить от контрольного сервера.\r\nБолее старые варианты Zupdax содержат отладочные сообщения, которые позволяют увидеть оригинальные\r\nназвания операций:\r\nID Название Описание\r\n0x0 CMD_END\r\nЗавершить работу бэкдора или перезапустить его (в\r\nзависимости от версии)\r\n0x17 CMD_SET_REM\r\nЗаписать в файл новый контрольный сервер (передается\r\nв сообщении)\r\n0x19 CMD_UNINSTALL_HOST Выполнить самоудаление из системы\r\n0x28 CMD_TRANSMISSION_PLUGIN\r\nПолучить от C2 имя плагина и запустить его (плагином\r\nможет быть шеллкод или EXE-файл). Если\r\nнеобходимый плагин отсутствует на диске,\r\nпредварительно получить его от C2. (Присутствует\r\nтолько в старых версиях)\r\n0x29 CMD_PLUGIN_TRANSMISSION_EXECUTE Получить от C2 идентификатор плагина и запустить его\r\nточку входа (плагины хранятся в памяти). Если плагин\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 10 of 43\n\nID Название Описание\r\nотсутствует в памяти, предварительно получить PE-файл с контрольного сервера и рефлективно загрузить\r\nиз него экспортируемую функцию. (В старых версиях\r\nто же, что и CMD_TRANSMISSION_PLUGIN)\r\n0x38 CMD_UPDATE\r\nСкачать EXE-файл по указанной ссылке, сохранить на\r\nдиск и запустить на исполнение\r\n0x68\r\nЗапустить исполняемый файл по фиксированному пути\r\nпод именем текущего пользователя. Путь равен\r\nC:\\ProgramData\\AdobeBak\\avanti.exe. (Присутствует\r\nтолько в последних версиях)\r\n0x77 CMD_ADD_STARTUP См. CMD_TRANSMISSION_PLUGIN\r\nВ старых экземплярах Zupdax также присутствуют пути к PDB-файлам:\r\nh:\\E\\项目问题\\UDPUDP-英文\\bin\\server.pdb\r\nd:\\磁盘\\E\\项目问题\\版本\\UDPUDP-英文\\bin\\server.pdb\r\nИз них следует, что оригинальное название проекта можно перевести как «UDPUDP-английский».\r\nСвязь с Redsip\r\nВ 2011 году специалисты McAfee описали серию атак на компании энергетического сектора, получившую название\r\nNight Dragon. Среди ВПО, использованного злоумышленниками, был бэкдор Redsip\r\n(e3165c2691dc27ddaeb21e007f2bf5aeb14ef3e12ec007938e104d6aed512f39).\r\nПо всей видимости, Zupdax представляет собой переработанную версию Redsip. Бэкдоры, в частности, имеют\r\nидентичную структуру сетевых сообщений (включая магическую константу 0x12345678), совпадающие по именам\r\nи идентификаторам команды (CMD_SET_REM и CMD_UNINSTALL_HOST), похожие отладочные сообщения. В\r\nобоих случаях полезная нагрузка реализуется через внешние плагины.\r\nРисунок 11. Фрагмент кода Redsip (образец 2010 года)\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 11 of 43\n\nРисунок 12. Фрагмент кода Zupdax (образец 2015 года)\r\nСтоит отметить, что в 2018 году Redsip был использован в атаке на российскую организацию, связанную с\r\nавиационно-космической отраслью. В качестве приманки злоумышленники использовали утекший корпоративный\r\nдокумент. Прямой связи этой атаки с деятельностью Space Pirates нам обнаружить не удалось.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 12 of 43\n\nРисунок 13. Внутренний документ, использованный в качестве приманки\r\nСвязи с Winnti и FF-RAT\r\nНекоторые экземпляры Zupdax имеют валидные цифровые подписи. В частности, образец\r\n24b749191d64ed793cb9e540e8d4b1808d6c37c5712e737674417573778f665b (upinstall.bat) подписан сертификатом YD\r\nOnline Corp., а 84b8bfe8161da581a88c0ac362318827d4c28edb057e23402523d3c93a5b3429 (Slack.exe) — сертификатом\r\nNFINITY GAMES BILISIM ANONIM SIRKET.\r\nСреди файлов, подписанных этими сертификатами, можно обнаружить компоненты ВПО PipeMon, которое\r\nприписывают группе Winnti. Изучая сетевую инфраструктуру второго образца, мы также отметили наличие\r\nкосвенных связей со старой инфраструктурой Winnti, однако они требуют дополнительного подтверждения.\r\nВ то же время в случае Slack.exe можно говорить о наличии надежных инфраструктурных связей с бэкдором FF-RAT, который в 2017 году описали специалисты BlackBerry. Так, и экземпляр Zupdax, и образцы FF-RAT используют\r\nв качестве C2 поддомены playdr2.com и gamepoer7.com.\r\nСвязи с Bronze Union и TA428\r\nВ ранее упоминавшемся отчете ESET Operation StealthyTrident: corporate software under attack, посвященном\r\nкомпрометации Able Desktop, отмечается присутствие бэкдоров HyperBro и Zupdax (Korplug по ESET), а также\r\nTmanger и ShadowPad в рамках одной операции злоумышленников. Исследователи приводят несколько возможных\r\nобъяснений такой взаимосвязи. Нам удалось выявить несколько дополнительных фактов, дающих больше\r\nинформации о связях между группами Bronze Union (LuckyMouse, APT27), TA428 и ВПО Zupdax.\r\nКодовые пересечения\r\nЭкземпляр Zupdax из отчета ESET содержит стандартный для этого ВПО дроппер (data1.dat,\r\n2486734ebe5a7fa6278ce6358d995d4546eb28917f8f50b01d8fdd7a1f9627a4), извлекающий полезную нагрузку из\r\nресурсов. Интерес представляет схема, по которой он получает управление: в ней используется side-loading\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 13 of 43\n\nбиблиотеки pcalocalresloader.dll, в которой расположен шеллкод, расшифровывающий и выполняющий еще один\r\nшеллкод из файла thumb.db. Второй шеллкод содержит сжатую алгоритмом LZNT1 DLL-библиотеку, которую он\r\nрефлективно загружает в память.\r\nРисунок 14. Фрагмент отчета ESET\r\nОба шеллкода используют нетипичный алгоритм хеширования для имен импортируемых библиотек и функций (рис\r\n15.). Так, kernel32.dll имеет хеш 0xD4E88, а ntdll.dll — 0x1B708. Однако поиск схожих экземпляров показал, что\r\nподобные шеллкоды можно встретить в различных семействах ВПО — например в SmokeLoader или в эксплойтах\r\nдля InPage. Вероятно, что для создания шеллкодов был использован билдер, доступный разным хакерским\r\nгруппировкам.\r\nРисунок 15. Хеш-функция во вспомогательных шеллкодах\r\nПри этом вся схема целиком, включающая легитимный компонент IntgStat.exe, библиотеку pcalocalresloader.dll и\r\nзашифрованный thumb.db, использовалась в таком виде только для загрузки бэкдора HyperBro и была описана\r\n«Лабораторией Касперского». Единственное расхождение состоит в том, что в случае с Able Desktop не применялась\r\nобфускация shikata_ga_nai.\r\nВспомогательная DLL, находящаяся в thumb.db, отвечает за одновременный запуск дроппера (data1.dat) и\r\nлегитимного установщика Able Desktop. Она отличается наличием большого количества неиспользуемых строк в\r\nсекции данных. Часть из этих строк характерна только для экземпляров бэкдора HyperBro:\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 14 of 43\n\nElevation:Administrator!new:{FCC74B77-EC3E-4dd8-A80B-008A702075A9}\r\nSOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Uninstall\\\\test\r\nsystem-%d\r\nCreateProcessAsUser error %d\r\n\\\\..\\\\config.ini\r\nWin2008(R2)\r\nWin2012(R2)\r\nКак следует из отчета ESET и нашего исследования, злоумышленники, стоящие за атакой на пользователей Able\r\nDesktop, имеют доступ как к HyperBro, так и к Zupdax. Однако при этом большая часть кодовых особенностей\r\nспецифична именно для бэкдора HyperBro, который, в свою очередь, относят к группе Bronze Union.\r\nСетевые пересечения\r\nРисунок 16. Фрагмент сетевой инфраструктуры Zupdax\r\nОдин из экземпляров Zupdax (ffe19202300785f7e745957b48ecc1c108157a6edef6755667a9e7bebcbf750b) использует в\r\nкачестве C2 поддомены flashplayeractivex.info, такие как update.flashplayeractivex.info и news.flashplayeractivex.info.\r\nВ августе 2020 года эти домены некоторое время разрешались в IP-адрес 209.250.239.96. Одновременно с ними на\r\nтом же IP-адресе присутствовал домен go.vegispaceshop.org.\r\nПоследний домен вместе с IP-адресом можно найти в отчете NTT Security, посвященном ВПО Albaniiutas из\r\nинструментария TA428. Как показал детальный анализ образцов Albaniiutas, который провели наши коллеги из\r\nGroup-IB, данное ВПО представляет собой новую версию выявленного ранее специалистами PT Expert Security\r\nCenter бэкдора RemShell (BlueTraveller).\r\nЕще один домен, появляющийся на IP-адресе 209.250.239.96 в то же самое время — nameserver.datacertsecure.info.\r\nОчевидным образом связанные с ним домены datacertsecure.info и check.datacertsecure.info в период с июня по июль\r\n2020 года разрешаются в IP-адрес 139.180.208.225. Одновременно с этим узел становится известен как контрольный\r\nсервер бэкдора HyperBro, а затем упоминается ESET в Operation StealthyTrident.\r\nПеречисленные связи дополнительно объединяют цели злоумышленников: скомпрометированные установщики\r\nAble Desktop, так же как и упомянутые выше экземпляры Albaniiutas и HyperBro, были использованы в атаках на\r\nорганизации в Монголии.\r\nЗагрузчики\r\nВ сетевой инфраструктуре Space Pirates мы обнаружили два вида загрузчиков, содержащие приманки с русским\r\nтекстом. Один из них был также найден в сети нашего клиента, подвергшегося атаке злоумышленников.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 15 of 43\n\nРисунок 17. Пример документа-приманки\r\nDownloader.Climax.A\r\nПервый загрузчик отличается использованием частей исходного кода буткита Rovnix (он был подробно описан\r\nэкспертами «Лаборатории Касперского»). Стоит отметить, что приведенные в отчете сетевые индикаторы, в\r\nчастности домен bamo.ocry.com, а также IP-адреса 45.77.244.191 и 45.76.145.22, по нашим данным, входят в сетевую\r\nинфраструктуру Space Pirates.\r\nУ нас нет информации о том, какое вредоносное ПО доставлял этот загрузчик. Однако исследователям из\r\n«Лаборатории Касперского» удалось выявить вероятные экземпляры, основываясь на схожести PDB-путей и\r\nидентичных C2.\r\nРисунок 18. Фрагмент отчета «Лаборатории Касперского»\r\nНа приведенных в отчете скриншотах полезной нагрузки можно заметить специфическую технику хранения строк:\r\nвсе они находятся в одном блоке данных и проиндексированы числами с префиксом «PS_». Такая техника\r\nвстречается в коде публично доступного бэкдора PcShare. Выделенные исследователями наборы строк в точности\r\nсоответствуют тем, которые можно встретить в открытом коде бэкдора. Аналогичное соответствие можно провести\r\nи между командами, которые поддерживает ВПО. В результате можно уверенно утверждать, что данная полезная\r\nнагрузка основана на коде PcShare.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 16 of 43\n\nРисунок 19. Фрагмент файла строк из кода PcShare\r\nДалее мы рассмотрим модифицированный вариант PcShare, который мы назвали RtlShare. Стоит отметить, что во\r\nвремя расследования у нашего клиента мы обнаружили экземпляр RtlShare, соединяющийся с C2 202.182.98.74. Его\r\nже использует образец Downloader.Climax.A с SHA-256\r\ne9c94ed7265c04eac25bbcdb520e65fcfa31a3290b908c2c2273c29120d0617b. Учитывая сказанное ранее, можно\r\nпредположить, что полезной нагрузкой, которую доставляет загрузчик, является именно RtlShare.\r\nDownloader.Climax.B\r\nДругой вид загрузчика для своего исполнения может использовать уязвимости в Microsoft Equation Editor. Такую\r\nуязвимость, в частности, эксплуатирует документ с именем «Мэр Сеула.rtf»\r\n(7079d8c92cc668f903f3a60ec04dbb2508f23840ef3c57efffb9f906d3bc05ff), созданный с помощью известного билдера\r\nRoyal Road RTF (8.t), широко распространенного среди азиатских APT-групп.\r\nКод этого загрузчика полностью отличается от Downloader.Climax.A, но при этом в нем можно выделить некоторые\r\nсхожие особенности. В частности, для соединения с C2 оба загрузчика используют TCP, а получаемая полезная\r\nнагрузка в обоих случаях распаковывается с помощью алгоритма LZW.\r\nDownloader.Climax.B закрепляется в системе через ключ реестра\r\nHKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\GetUserConfig. Его задача —получить с контрольного\r\nсервера файлы с именами INFOP11.EXE и OINFO11.OCX и запустить EXE-файл на исполнение. При этом каждый\r\nиз файлов имеет свой числовой идентификатор, который отправляется на C2.\r\nРисунок 20. Фрагмент кода загрузчика\r\nПосле загрузки в тело полученного OCX-файла записываются параметры конфигурации, которые присутствуют в\r\nсамом загрузчике: узел и порт контрольного сервера, время ожидания между обращениями к C2, строка TodaySend,\r\nа также сгенерированный GUID.\r\nRtlShare\r\nПолезная нагрузка ВПО RtlShare основана на публично доступном коде бэкдора PcShare. Вместе с тем вредоносное\r\nПО имеет специфическую цепочку исполнения, код которой отсутствует в открытых источниках. В ней участвует\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 17 of 43\n\nтри DLL, каждая из которых имеет свое экспортируемое имя. Далее мы будем использовать эти имена для\r\nобозначения соответствующих библиотек.\r\nРассмотрим RtlShare на примере образца 8ac2165dc395d1e76c3d2fbd4bec429a98e3b2ec131e7951d28a10e9ca8bbc46.\r\nИнтересно, что для его доставки злоумышленники использовали взломанный сайт петрозаводской математической\r\nконференции PICCAnA (piccana.karelia.ru), который в настоящее время недоступен (веб-архив). В качестве\r\nконтрольного сервера в нем указан частный IP-адрес 192.168.193.165.\r\nВ процессе расследования инцидента у одного из наших клиентов мы встретили практически идентичные образцы,\r\nиспользующие контрольные серверы 45.76.145.22, 141.164.35.87 и 202.182.98.74.\r\nДроппер rtlstat.dll\r\nВ качестве начальной стадии заражения выступает DLL-библиотека rtlstat.dll, экспортирующая единственную\r\nфункцию emBedding. Ее задача — извлечь и запустить библиотеку следующей стадии с внутренним именем\r\nrtlmake.dll.\r\nДля этого сперва проверяется разрядность ОС и выбирается необходимый блок данных, после чего он\r\nрасшифровывается XOR с ключом в виде одной из строк 4af233f4740c2fde7fc95ed3a834d7b1 (x64) и\r\n3ad6faf2d7b714137de31efef137775b (x86). Затем расшифрованные данные распаковываются по алгоритму LZ4.\r\nРисунок 21. Извлечение необходимой версии rtlmake.dll\r\nВ тело полученной библиотеки копируется блок данных, содержащий конфигурацию (на данном этапе она\r\nзашифрована). В качестве маркера, обозначающего место, куда будет скопирована конфигурация, используется\r\nмагическое число 0xAADDEE99.\r\nЧтобы обойти детектирование на основе хеш-сумм, злоумышленники добавляют в конец библиотеки случайное\r\nколичество случайных байтов, обновляя при этом поле Checksum в PE-заголовке файла. Таким образом, при каждом\r\nновом запуске будет извлекаться новый файл.\r\nЗатем дроппер проверяет, запущен ли он от имени пользователя SYSTEM. Для этого он ищет подстроку config в\r\nпути к папке LocalAppData. Если подстрока присутствует, то библиотека перезапускается от имени текущего\r\nпользователя через rundll32.exe.\r\nВ противном случае полученная библиотека сохраняется в файл\r\n%LOCALAPPDATA%\\Microsoft\\Windows\\WER\\Security\\wuaueng.hlk, а путь к ней записывается в реестр по ключу\r\nHKCU\\Software\\Classes\\CLSID\\{42aedc87-2188-41fd-b9a3-0c966feabec1}\\InprocServer32. Данный раздел отвечает за\r\nCOM-объект MruPidlList, используемый в библиотеке shell32.dll, которую, в свою очередь, подгружает процесс\r\nexplorer.exe — это известная техника закрепления ВПО в системе.\r\nВ конце своей работы дроппер запускает извлеченную DLL на исполнение с помощью regsvr32.exe и самоудаляется\r\nчерез BAT-файл.\r\nИнжектор rtlmake.dll\r\nВерсии rtlmake.dll разной разрядности имеют одну и ту же функциональность, которая сводится к извлечению DLL\r\nследующей стадии и внедрению ее кода в процесс rdpclip.exe (либо в текущий процесс).\r\nВ начале своей работы инжектор проверяет, что он работает в одном экземпляре: чаще всего с этой целью\r\nиспользуются мьютексы, но в данном случае применены именованные отображения файлов в память (file mappings).\r\nНа время работы rtlmake.dll создается mapping с именем 55fc3f9a654c500932, а за работу полезной нагрузки\r\nотвечает mapping 7f8b6a2440e5c9e5b6.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 18 of 43\n\nЗатем с помощью аналогичной предыдущему этапу функции выполняется расшифровка и декомпрессия DLL с\r\nполезной нагрузкой и конфигурации (напомним, что она была ранее скопирована в rtlmake.dll). Ключ шифрования\r\nконфигурации — строка 2ae06f136eb6588508eefd4b5f6c98d8345f1104746d15141, а полезной нагрузки —\r\n1192f6c4b018c8e0f51d31d6dde22ff3.\r\nРисунок 22. Конфигурация бэкдора RtlShare\r\nДалее выбирается процесс, в который будет внедрена полезная нагрузка. Если текущий процесс — это explorer.exe\r\n(что верно, если библиотека была загружена в качестве COM-компонента), то целевым процессом станет rdpclip.exe.\r\nВ случае если rdpclip.exe не удалось запустить, либо если DLL была загружена в другой процесс, целевым\r\nпроцессом становится текущий.\r\nВ память выбранного процесса записывается расшифрованная конфигурация, после чего инжектор формирует\r\nкомандную строку вида «/v /c:0x12345678», содержащую адрес конфигурации в адресном пространстве процесса.\r\nПолученная строка и полезная нагрузка также записываются в память процесса.\r\nРисунок 23. Формирование командной строки в rtlmake.dll\r\nЧтобы запустить исполнение полезной нагрузки, инжектор определяет смещение в PE-файле, по которому\r\nрасполагается экспортируемая ей функция Putklm, после чего она получает управление вызовом\r\nCreateRemoteThread. При этом в качестве аргументов ей передается адрес командной строки. Важно отметить, что\r\nрефлективной загрузки до этого момента не происходит: функция Putklm фактически работает как шеллкод.\r\nПолезная нагрузка rtlmain.dll (rtlmainx64.dll)\r\nПоследняя DLL полностью реализована на основе кода основного модуля бэкдора PcShare — PcMain. Отметим\r\nнекоторые ее особенности, которые характерны только для семейства RtlShare:\r\nВнутри библиотеки реализован рефлективный загрузчик, который находится в функции Putklm. Адрес\r\nкомандной строки, который она принимает, передается в DllEntryPoint через параметр lpReserved и при этом\r\nшифруется XOR с константой 0x73DE2938. Восстановление адреса и разбор командной строки происходит\r\nвнутри функции DllMain.\r\nПосле запуска rtlmain.dll завершаются все процессы rdpclip.exe кроме текущего.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 19 of 43\n\nХранилище строк бэкдора дополнительно к сжатию LZ4 (которое присутствует в открытом коде)\r\nзашифровано AES с ключом 68fa504a1aee69f71df454e554c74eaf. Аналогичным образом кодируются\r\nпринимаемые (ключ 48d426ca6d45496e7413cf435516af06) и передаваемые (ключ\r\n2e5140d04c7d7da454991bae10160369) сообщения.\r\nДобавлена поддержка соединения через прокси-сервер.\r\nПрисутствует специальная команда, позволяющая злоумышленникам перезаписать конфигурацию внутри\r\nинжектора rtlmake.dll (необходимое смещение содержит магическую константу 0x76EE38BB).\r\nВ код, отвечающий за реализацию удаленной командной строки, добавлена команда getip, которая\r\nреализована через вызов nslookup myip.opendns.com resolver1.opendns.com.\r\nИспользование RtlShare\r\nОбразцы RtlShare можно обнаружить в других отчетах. Так, например, исследователи Recorded Future обнаружили в\r\nсетевой инфраструктуре группы RedFoxtrot образцы ВПО PcShare, которые имеют значительное сходство с\r\nсемейством RtlShare. Помимо этого, аналогичные экземпляры ранее встречались Bitdefender при расследовании\r\nактивности APT-группы с азиатскими корнями, нацеленной на государственные учреждения Юго-Восточной Азии.\r\nСвязей в сетевой инфраструктуре ни между вышеупомянутыми случаями, ни между этими случаями и активностью,\r\nкоторую мы обнаружили при расследовании инцидента у нашего клиента, не наблюдается. Это позволяет\r\nпредположить, что, несмотря на отсутствие кода RtlShare в открытых источниках, к данному ВПО имеют доступ\r\nнесколько различных APT-групп азиатского происхождения.\r\nPlugX\r\nВ сети нашего клиента мы также обнаружили несколько экземпляров бэкдора PlugX. Найденные экземпляры\r\nиспользовали в качестве контрольных серверов адреса micro.dns04.com, microft.dynssl.com, api.microft.dynssl.com и\r\nwww.0077.x24hr.com, входящие в сетевую инфраструктуру группы и прямо пересекающиеся с C2 MyKLoadClient.\r\nPlugX широко применяется в среде киберпреступников, имеет несколько версий и большое количество\r\nмодификаций. Однако выявленные нами образцы обладают набором особенностей, позволяющих выделить их в\r\nотдельную группу.\r\nКак и в обычном PlugX, основная полезная нагрузка бэкдора реализована в виде DLL-библиотеки, которая\r\nрефлективно загружается в память в процессе исполнения ВПО. В ее точку входа первым аргументом передается\r\nуказатель на структуру, в которой содержатся, в частности, сигнатура и адрес зашифрованной конфигурации.\r\nВ оригинальном PlugX сигнатура представляет собой константу 0x504C5547 (строка PLUG), однако в нашей группе\r\nобразцов это значение было равно 0xCF455089. Нестандартен и размер конфигурации, который равен 0x1924 байта:\r\nнам не удалось найти упоминание такой конфигурации в открытых источниках. В отличие от многих других\r\nвариантов, имеющих сигнатуру XV вместо MZ и PE, в нашем случае заголовок PE-файла с полезной нагрузкой\r\nостается неизменным.\r\nВ бэкдоре активно применяется техника встраивания кода (inlining), в частности это касается API-вызовов и\r\nшифрования строк.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 20 of 43\n\nРисунок 24. Вызовы API-функций в PlugX\r\nДля поиска API-функций бэкдор использует CRC32-хеши от их имен. Полученные указатели кэшируются, при этом\r\nотвечающие за эту операцию фрагменты кода встроены в каждое место, где требуется обращение к WinAPI.\r\nРисунок 25. Шифрование строк в PlugX\r\nПрактически все строки в бэкдоре являются стековыми, большинство из них зашифровано методом ADD-XOR-SUB. Код для расшифровки копируется во все места, где используются шифрованные строки.\r\nВПО использует стандартный набор плагинов, известный с ранних версий. В оригинальном PlugX на этапе их\r\nинициализации используется параметр, выглядящий как дата. Так, плагин Disk имеет параметр 0x20120325. В\r\nнашем случае для всех плагинов сочетание 2012 изменено на 8102 (что может означать 2018): тот же плагин Disk\r\nиспользует значение 0x81020325.\r\nБэкдор целиком также имеет числовое значение, указывающее на версию: оно передается на C2 вместе с\r\nинформацией о зараженной системе и равно 0x20161127. Такую же версию можно встретить в Backdoor.PlugX.38 из\r\nотчета Dr.Web об атаках на государственные учреждения Казахстана и Киргизии. Однако другие уникальные\r\nзначения из варианта группы Space Pirates, такие как сигнатура и размер конфигурации, в BackDoor.PlugX.38\r\nотсутствуют. По-видимому, оба варианта основаны на базовом коде одной и той же версии PlugX, но его\r\nмодификации в каждом из этих случаев отличаются.\r\nБолее точные пересечения мы встретили в других отчетах. Среди экземпляров PlugX, которые были использованы в\r\nатаках на Ватикан в 2019–2020 годах, можно обнаружить несколько образцов, которые аналогичны используемым\r\nгруппой Space Pirates. Помимо этого, те же модификации бэкдора встречаются в образцах, которые связывают с\r\nактивностью группы RedFoxtrot. При этом обнаружить связей в сетевой инфраструктуре нам не удалось, что\r\nпозволяет вновь говорить об обмене инструментарием между группами. Учитывая другие пересечения между\r\nиспользовавшимся в атаках ВПО (Zupdax и RtlShare), можно также предположить, что вся эта активность\r\nпринадлежит одной или нескольким совместно действующим группам. Впрочем, это требует дополнительного\r\nподтверждения.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 21 of 43\n\nDemo dropper\r\nНекоторые экземпляры обнаруженного нами варианта PlugX извлекаются в систему интересным дроппером,\r\nисполняемый файл которого может называться demo.exe. Он реализован на основе библиотеки MFC. Его работа\r\nсводится к созданию VBS-скрипта с именем msiexece.vbs или cosetsvc.vbs и его последующему запуску.\r\nВ качестве параметров командной строки скрипту передается путь к EXE-дропперу и имена файлов, которые будут\r\nиз него извлечены. Файлы находятся в оверлее demo.exe и могут быть зашифрованы однобайтовым XOR (но во всех\r\nизвестных нам экземплярах ключ равен 0). Смещение оверлея и длина каждого из файлов прописаны в VBS-коде.\r\nСкрипт извлекает стандартные для PlugX компоненты — легитимный EXE-файл, DLL для Side-Loading и\r\nзашифрованный шеллкод, после чего легитимный файл запускается.\r\nРисунок 26. Запись и исполнение VBS-файла\r\nBH_A006\r\nДанное ВПО, как и в других случаях, мы обнаружили как во время конкретного расследования у клиента, так и в\r\nпроцессе исследования сетевой инфраструктуры группы. В качестве полезной нагрузки оно содержит\r\nмодифицированный бэкдор Gh0st. Строка BH_A006 постоянно встречается в PDB-путях и внутренних именах DLL-библиотек, связанных с бэкдором, поэтому он получил такое название.\r\nBH_A006 имеет нетривиальную схему исполнения полезной нагрузки, которая может варьироваться на начальных\r\nэтапах в различных экземплярах. Рассмотрим ее на примере одного из вредоносных файлов.\r\nСтадия 0. Загрузка DLL из оверлея\r\nSHA-256: 1e725f1fe67d1a596c9677df69ef5b1b2c29903e84d7b08284f0a767aedcc097\r\nИсходный образец представляет собой исполняемый файл, использующий библиотеку MFC. Он извлекает\r\nсодержимое оверлея, расшифровывает его XOR с ключом 0xA0 и рефлективно загружает полученную DLL в\r\nпамять.\r\nСтадия 1. DLL-дроппер\r\nSHA-256: 8bf3df654459b1b8f553ad9a0770058fd2c31262f38f2e8ba12943f813200a4d\r\nизвлекает следующие файлы:\r\nC:\\ProgramData\\resmon.resmoncfg\r\nC:\\ProgramData\\Sandboxie\\SbieIni.dat (install32.dat)\r\nC:\\ProgramData\\Sandboxie\\SbieDll.dll\r\nC:\\ProgramData\\Sandboxie\\SandboxieBITS.exe\r\nПосле этого происходит проверка наличия прав записи в системную папку. Для этого дроппер пытается создать в\r\nней файл с именем формата wmkawe_%d.data. В качестве содержимого выступает строка Stupid Japanese.\r\nЕсли права отсутствуют, а система является 64-битной, дополнительно извлекаются еще два файла:\r\nC:\\ProgramData\\Sandboxie.dll (install64.dll)\r\nC:\\ProgramData\\Sandboxie.dat (install64.dat)\r\nИмена, указанные в скобках, не используются, но присутствуют в коде. По всей видимости, они остались там от\r\nдругой версии дроппера.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 22 of 43\n\nВсе файлы содержатся в секции данных в упакованном виде, для сжатия используется вариант алгоритма LZMA.\r\nТакой метод сжатия применяется и на следующих этапах работы ВПО. Далее по тексту раздела, если не указано\r\nиное, мы будем иметь в виду данный алгоритм.\r\nВ зависимости от наличия прав и разрядности ОС дроппер запускает одну из цепочек для обхода UAC:\r\n(x32) C:\\ProgramData\\Sandboxie\\SandboxieBITS.exe ByPassUAC\r\n(x64) rundll32.exe C:\\ProgramData\\Sandboxie\\SbieMsg.dll,installsvc ByPassUAC\r\nЛибо сразу же переходит к исполнению следующей стадии:\r\nC:\\ProgramData\\Sandboxie\\SandboxieBITS.exe InsertS\r\nВ любом из трех случаев создается и запускается файл %tmp%\\delself.bat, содержащий команды для самоудаления.\r\nСтоит отметить, что данный экземпляр не впервые встречается исследователям. Другой вариант MFC-загрузчика\r\n(стадия 0), содержащий тот же самый дроппер, был упомянут ESET в отчете Operation NightScout, а затем подробно\r\nизучен нашими коллегами из VinCSS.\r\nСтадия 2. Загрузчик .dat (SbieDll.dll / SbieMsg.dll)\r\nВне зависимости от команды, которая была запущена DLL-дроппером, исполнение переходит к одной из\r\nизвлеченных DLL-библиотек. В случае 32-битной версии для этого используется легитимный компонент утилиты\r\nSandboxie, уязвимый к DLL Side-Loading.\r\nРисунок 27. Загрузка и запуск шеллкода в SbieDll.dll\r\nКод в 32- и 64-битной версиях библиотек практически идентичен и отвечает за загрузку соответствующего файла\r\n.dat, расшифровку его содержимого и запуск на исполнение. Для расшифровки используется XOR с\r\nпоследовательностью байт вида 00, 01, 02, … FF, 00, 01, … Так же как и в коде предыдущей стадии, здесь можно\r\nувидеть альтернативные пути к файлам .dat, которые не используются во время работы.\r\nСтадия 3. Шеллкод .dat и DLL\r\nШеллкод представляет собой рефлективный загрузчик DLL-библиотеки, которая расположена в его теле сразу после\r\nфункции загрузки. В данном случае в версиях шеллкода с разной разрядностью функциональность библиотеки\r\nсущественно отличается.\r\nСтадия 3.1 ByPassUAC (x64)\r\nСтадия 3.1.1 Промежуточная DLL\r\n64-битная версия отвечает только за реализацию обхода UAC. Для выполнения этой задачи она извлекает из себя в\r\nпамять еще одну DLL и передает ей управление. Рефлективная загрузка вновь выполняется с помощью шеллкода,\r\nкоторый предварительно расшифровывается XOR с ключом 0x97. Шеллкод при этом не автономный: помимо\r\nбуфера с PE-файлом, ему передаются указатели на необходимые функции, такие как GetProcAddress и LoadLibraryA.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 23 of 43\n\nРисунок 28. Расшифровка и выполнение шеллкода для рефлективной загрузки\r\nСтадия 3.1.2 DLL с реализацией обхода UAC\r\nВ DLL присутствует путь к PDB-файлу: e:\\F35-F22\\昆明版本\\ElephantRat\\nwsapagent\\Bin\\ByPassUAC64.pdb.\r\nРисунок 29. Выбор метода обхода UAC\r\nПрименяемый метод UAC bypass зависит от наличия в системе процесса avp.exe (компонент антивирусных\r\nпродуктов «Лаборатории Касперского») и версии системы. Всего реализовано три известных метода, использующих\r\nsdclt.exe, .NET-библиотеку и подделку доверенных директорий.\r\nПри успешном выполнении обхода любым из способов будет запущена уже встречавшаяся ранее команда\r\nC:\\ProgramData\\Sandboxie\\SandboxieBITS.exe InsertS.\r\nСтадия 3.2. ByPassUAC / InstallS (x32)\r\nСтадия 3.2.1. Промежуточная DLL\r\n32-битная версия DLL, которая расположена в соответствующем файле DAT, обфусцирована с помощью\r\nнеизвестного протектора.\r\nРисунок 30. Точка входа в обфусцированном PE-файле\r\nВ секции данных этой DLL находится сжатый шеллкод, который распаковывается и получает управление.\r\nСтадия 3.2.2. Шеллкод распаковки\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 24 of 43\n\nРисунок 31. Передача аргументов функции через адрес возврата\r\nШеллкод начинается с вызова функции sub_20F, которая принимает три аргумента: хеш от имени VirtualAlloc,\r\nразмер буфера для распаковки и указатель на данные. Аргументы записаны сразу после инструкции call, и\r\nвызываемая функция обращается к ним, используя смещение относительно адреса возврата.\r\nФункция sub_20F получает указатель на функцию VirtualAlloc, для чего находит библиотеку kernelbase.dll в списке\r\nзагруженных модулей (предполагается, что она всегда находится на втором месте в списке\r\nInInitializationOrderModuleList) и итерирует ее таблицу экспорта, используя хеш для нахождения нужной функции.\r\nЗатем выделяется буфер заданного в аргументах размера с правами RWX, и в него распаковываются сжатые данные.\r\nВ данном случае для сжатия применяется алгоритм семейства NRV из библиотеки UCL (используется в пакере\r\nUPX). Данные представляют собой еще один шеллкод, на который передается управление.\r\nСтадия 3.2.3. Шеллкод релокации\r\nОсновная часть очередного шеллкода представляет собой содержимое секций данных и кода, по всей видимости,\r\nизвлеченного из некоторого PE-файла. Для корректного запуска в начале своей работы шеллкод выполняет\r\nкорректировку адресов (релокацию). Необходимые для нее параметры передаются аналогично предыдущему\r\nшеллкоду с использованием адреса возврата. Релокация выполняется относительно стандартного базового адреса\r\n0x401000. После ее завершения управление передается на указанный в параметрах (как смещение относительно\r\nконца таблицы релокации) адрес точки входа.\r\nРисунок 32. Параметры шеллкода релокации\r\nСтадия 3.2.4. Инсталлятор в формате шеллкода\r\nОсновная функция инсталлятора загружает необходимые для работы функции WinAPI, после чего может выполнить\r\nуказанную в командной строке операцию.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 25 of 43\n\nРисунок 33. Фрагмент кода шеллкода-установщика\r\nПоддерживаются следующие команды:\r\nInsertS — создание сервиса Network Service. В качестве пути для запуска указывается имя текущего модуля с\r\nпараметром runsvc. При отсутствии в списке процессов avp.exe сервис будет сразу же запущен.\r\nRunsvc — удаление всех вспомогательных файлов и папок, которые могли использоваться в процессе обхода\r\nUAC. Распаковка шеллкода следующей стадии, создание процесса svchost.exe и инъекция распакованного\r\nшеллкода. Интересно, что в коде, отвечающем за имперсонацию и запуск процесса svchost.exe, реализована\r\nспециальная проверка для русского языка системы (и только для него), что говорит об ориентации на\r\nрусскоязычные версии ОС.\r\nРисунок 34. Особая обработка для русского языка системы\r\nПомимо этого, создается отдельный поток, который каждые 50 секунд проверяет наличие маппинга\r\nGlobal\\MYKERNELDLLMAPPING06. В случае его отсутствия в системе повторяется создание svchost.exe и\r\nинъекция шеллкода.\r\nByPassUAC — работает полностью аналогично 64-битной версии (стадия 3.1.1): распаковывает DLL с\r\nреализацией методов обхода UAC и передает ей управление.\r\nMemload — в коде присутствует отладочное сообщение MemLoadServer. Распаковывает шеллкод следующей\r\nстадии и запускает его напрямую в текущем процессе.\r\nСтадия 4. MemLoadLibrary\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 26 of 43\n\nЧетвертая стадия имеет уже встречавшийся ранее формат: шеллкод распаковки извлекает шеллкод релокации,\r\nкоторый в свою очередь запускает на исполнение основной код (полученный из PE-файла). Основной код в данном\r\nслучае имеет небольшой объем и отвечает за распаковку и рефлективную загрузку DLL в память. Рефлективный\r\nзагрузчик реализован в виде зашифрованного XOR шеллкода, как и на стадии 3.1.1. После загрузки библиотеки\r\nуправление передается экспортируемой функции Online.\r\nРисунок 35. Распаковка DLL и запуск экспорта Online\r\nDLL вновь является лишь промежуточным загрузчиком и запускает очередной шеллкод.\r\nРисунок 36. Код функции Online\r\nНовый шеллкод является шеллкодом распаковки, и стадия 4 повторяется в точности, вплоть до вызова функции\r\nOnline из последней DLL-библиотеки.\r\nСтадия 5. Полезная нагрузка\r\nПредставляет собой частично обфусцированный с помощью уже встречавшегося пакера (стадия 3.2.1) бэкдор,\r\nкоторый основан на коде трояна Gh0st.\r\nИнтересно, что сигнатура сетевых пакетов (Gh0st в оригинале) в данной версии генерируется и проверяется особым\r\nобразом. В четырехбайтовом значении полезную нагрузку несет только младший бит каждого байта, остальные\r\nбиты случайны. Младшие биты должны удовлетворять набору логических соотношений, в которых участвуют\r\nмладшие биты магической константы 0x31230C0. Стоит отметить, что аналогичный алгоритм проверки этих\r\nсоотношений, использующий ту же константу, можно найти в загрузчиках файлов .dat (стадия 2), однако там\r\nрезультат его работы не используется.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 27 of 43\n\nРисунок 37. Генерация сигнатуры в конструкторе класса CClientSocket\r\nБиблиотека имеет экспортируемое имя BH_A006_SRV.dll, а в оверлее PE-файла можно обнаружить\r\nсоответствующий PDB-путь:\r\nD:\\005（fastapp f35 20181009）\\nwsapagent\\KernelTrjoan\\BH_A006_SRV\\BH_A006_SRV\\Debug\\BH_A006_SRV.pdb\r\nНам удалось найти экземпляр ВПО (57d4c08ce9a45798cd9b0cf08c933e26ffa964101dcafb1640d1df19c223e738),\r\nкоторый имеет аналогичную обфускацию, идентичный алгоритм генерации сетевой сигнатуры и содержит имя\r\nBH_A006_SRV.dll. При этом данный экземпляр был загружен на VirusTotal в 2015 году.\r\nСвязь с 9002 RAT\r\nВ процессе изучения цепочки исполнения бэкдора BH_A006 оказалось, что использованная в ней техника\r\nпреобразования PE-файла в автономный сжатый шеллкод не уникальна. Аналогичные шеллкоды распаковки и\r\nрелокации, а также процедура загрузки WinAPI-функций присутствуют в экземплярах ВПО 9002 RAT. Например, их\r\nможно найти в образце 52374f68d1e43f1ca6cd04e5816999ba45c4e42eb0641874be25808c9fe15005 из отчета Trend\r\nMicro об атаках на южнокорейские компании — одного из последних упоминаний данного ВПО.\r\nDeed RAT\r\nЕще один вид ранее неизвестного ВПО, который в единственном экземпляре мы обнаружили у нашего клиента,\r\nпредставляет собой модульный бэкдор. По значению сигнатуры, которая используется в заголовке его модулей, мы\r\nдали ему название Deed RAT.\r\nКонтрольный сервер Deed RAT ftp.microft.dynssl.com напрямую связан с инфраструктурой группы Space Pirates.\r\nСходство можно найти и в одной из кодовых особенностей: для шифрования шеллкода так же, как и в части\r\nэкземпляров PlugX, используются операции [xor 0xBB, sub 0x1].\r\nСхема исполнения полезной нагрузки напоминает стандартный метод, который использует PlugX: легитимный EXE-файл, подписанный Trend Micro, загружает в процессе работы вредоносную библиотеку TmDbgLog.dll, которая, в\r\nсвою очередь, запускает на исполнение зашифрованный шеллкод из файла PTWD.tmp.\r\nОднако при этом используется интересный метод передачи управления шеллкоду: в момент загрузки библиотека\r\nмодифицирует исполняемый файл таким образом, чтобы после возврата управления в EXE-файл для нее сразу же\r\nбыла вызвана функция FreeLibrary. Повторно получив управление в момент выгрузки, библиотека вновь\r\nмодифицирует исполняемый файл, записывая в него ассемблерные инструкции для вызова шеллкода: они будут\r\nвыполнены сразу после возврата из FreeLibrary.\r\nШеллкод представляет собой загрузчик основного модуля, который в сжатом и зашифрованном виде располагается\r\nпосле кода загрузки. Модуль имеет специальную структуру и использует техники, заимствованные из PE-файлов. В\r\nчастности, в модуле присутствуют три «секции» с различными правами доступа и таблица релокации, полностью\r\nаналогичная используемой в формате PE.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 28 of 43\n\nРасшифрованный модуль состоит из заголовка, начинающегося с сигнатуры 0xDEED4554 и основного блока\r\nданных, сжатого LZNT1, в котором содержатся данные секций и таблица релокации. Для каждой из секций в\r\nзаголовке указаны ее фактический размер и размер в памяти, который выровнен на границу 0x1000. Структура\r\nзаголовка выглядит следующим образом:\r\nstruct SectionHeader{\r\n _DWORD VirtualSize;\r\n _DWORD SizeOfRawData;\r\n};\r\nstruct ModuleHeader{\r\n _DWORD Signature; // 0xDEED4554\r\n _DWORD ModuleId;\r\n _DWORD EntryPoint;\r\n _DWORD OriginalBase;\r\n _DWORD AbsoluteOffset; // 0x1000\r\n SectionHeader Sections[3];\r\n _DWORD Unknown;\r\n};\r\nВ процессе работы загрузчик выделяет необходимую область памяти, копирует в нее каждую из секций (учитывая\r\nее размер в памяти) и выполняет настройку адресов (релокацию). Первая из секций содержит исполняемый код, и\r\nдля ее области памяти устанавливаются права RX, остальные секции имеют права RW. После загрузки секций\r\nуправление получает точка входа модуля, указанная в заголовке.\r\nОсновной модуль бэкдора имеет идентификатор 0x20 и отвечает за загрузку и управление плагинами,\r\nреализующими различные функции. В его секции данных расположены восемь зашифрованных плагинов, которые\r\nинициализируются в начале работы:\r\nID Имя Описание Сетевые команды\r\n0x30 Startup Плагин, реализующий алгоритм запуска ВПО\r\n0x40 Config Плагин, отвечающий за работу с конфигурацией\r\n0x40 — передача\r\nконфигурации на C2\r\n0x41 — получение\r\nновой конфигурации от\r\nC2\r\n0xA0 Install\r\nПлагин, отвечающий за закрепление на зараженной машине.\r\nЗакрепление может выполняться через механизм служб и через\r\nреестр (ключ задается конфигурацией)\r\n0xB0 Inject\r\nПлагин, осуществляющей внедрение кода в заданный процесс\r\n(определяется конфигурацией)\r\n0x60 Network Плагин, управляющий сетевым взаимодействием\r\n0x70 NetSocket\r\nПлагин, реализующий различные типы коннекторов для\r\nсетевого взаимодействия\r\n0x50 Plugin\r\nПлагин, реализующий мониторинг реестра на предмет\r\nпоявления в нем новых плагинов и их загрузку\r\n0x50 — сбор\r\nинформации о плагинах\r\n0x51 — добавление\r\nплагина в реестр и его\r\nзапуск\r\n0x52 — удаление\r\nплагина из реестра и\r\nпамяти\r\n0x90 NetProxy\r\nПлагин, управляющий информацией о доступных прокси-серверах. Имеет встроенный сниффер для автоматического\r\nобнаружения прокси, используемых зараженной машиной\r\nВ отличие от основного модуля для шифрования плагинов используется алгоритм на основе Salsa20. Среди\r\nмодификаций — собственная константа для расширения ключа, равная arbitraryconstat. Структура расшифрованного\r\nплагина полностью повторяет структуру основного модуля, и для его загрузки используется аналогичный алгоритм.\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 29 of 43\n\nКаждый плагин реализует пять служебных операций, которые реализованы в его точке входа:\r\n1. Инициализация.\r\n2. Получение числового идентификатора плагина.\r\n3. Получение названия плагина.\r\n4. Получение ссылки на структуру с API-функциями плагина.\r\n5. Освобождение ресурсов.\r\nРисунок 38. Точка входа плагина Config\r\nПолезная функциональность плагина доступна через структуру с его API-функциями. Среди них может\r\nприсутствовать функция-диспетчер, отвечающая за обработку сетевых команд, которые поддерживает плагин.\r\nОсновной модуль также имеет API-интерфейс, позволяющий получить доступ к другим плагинам и реализующий\r\nвспомогательные функции, такие как шифрование или работа с реестром.\r\nОдной из интересных особенностей бэкдора является псевдослучайная генерация различного рода строк — ключей\r\nреестра, имен мьютексов и каналов (pipes), аргументов командной строки. Строка необходимой длины создается на\r\nоснове сида, в формировании которого участвуют числовой идентификатор строки, а также серийный номер\r\nсистемного тома. В результате на каждой из зараженных машин используется свой уникальный набор строковых\r\nконстант.\r\nРисунок 39. Алгоритм генерации идентификатора\r\nВсе необходимые данные бэкдор хранит в разделе реестра [HKLM|HKCU]\\Software\\Microsoft\\. Для каждого типа\r\nинформации в нем создается свой подраздел, имя которого получается с помощью описанного выше генератора\r\nстрок. Чтобы получить все ключи, которые может использовать бэкдор, мы реализовали скрипт на Python,\r\nпринимающий серийный номер тома и воспроизводящий работу генератора.\r\nГенератор ключей реестра\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 30 of 43\n\nimport click\r\ndef rshift(val, n):\r\n s = val \u0026 0x80000000\r\n for i in range(0,n):\r\n val \u003e\u003e= 1\r\n val |= s\r\n return val\r\ndef generator(volume_number, seed, length):\r\n gr_seed = (volume_number + seed + 0x1000193) \u0026 0xffffffff\r\n r = []\r\n for i in range(length):\r\n r1 = (gr_seed * 0x2001) \u0026 0xffffffff\r\n r2 = rshift(r1, 7)\r\n r3 = r2 ^ r1\r\n r4 = (r3 * 9) \u0026 0xffffffff\r\n r5 = rshift(r4, 17)\r\n r6 = r4 ^ r5\r\n r7 = (r6 * 33) \u0026 0xffffffff\r\n r.append(((r7 \u0026 0xffff) % 26) + 0x41)\r\n gr_seed = r7\r\n \r\n return bytes(r).decode('utf-8')\r\n@click.command()\r\n@click.argument(\"VOLUME_NUMBER\")\r\ndef main(volume_number):\r\n try:\r\n serial_number = int(volume_number, 16)\r\n except ValueError:\r\n print(\"[~] Invalid Volume number\")\r\n return\r\n registry_key_1 = generator(serial_number, 0xC4DA8B2F, 6)\r\n registry_key_2 = generator(serial_number, 0x7BD90AA1, 10)\r\n registry_key_3 = generator(serial_number, 0xF7BBC23F, 10)\r\n registry_key_4 = generator(serial_number, 0xDF12A5B2, 8)\r\n registry_key_5 = generator(serial_number, 0x6EB208A4, 9)\r\n registry_key_6 = generator(serial_number, 0xDE8765CB, 8)\r\n registry_key_7 = generator(serial_number, 0x6D3C218A, 8)\r\n registry_key_8 = generator(serial_number, 0x78D3BC22, 8)\r\n registry_key_9 = generator(serial_number, 0xD53BCA90, 10)\r\n registry_key_11 = generator(serial_number, 0x4FD82CB4, 8)\r\n registry_key_13 = generator(serial_number, 0xDCBC5D23, 8)\r\n registry_key_10 = generator(serial_number, 0xE2C7BA56, 15)\r\n \r\n registry_key_12 = generator(serial_number, 0x8BD43C12, 8)\r\n print(f\"[+] Plugin monitor registry key: [HKCU|HKLM]\\\\Software\\\\Microsoft\\\\{registry_key_1}\")\r\n print(f\"[+] Executable path: [HKCU|HKLM]\\\\Software\\\\Microsoft\\\\{registry_key_3}; ValueName: {registry_key_\r\n print(f\"[+] Machine ID: [HKCU|HKLM]\\\\Software\\\\Microsoft\\\\{registry_key_5}; ValueName: {registry_key_4}\")\r\n print(f\"[+] Shellcode for injection: [HKCU|HKLM]\\\\Software\\\\Microsoft\\\\{registry_key_6}; ValueName: {regis\r\n print(f\"[+] Proxies: [HKCU|HKLM]\\\\Software\\\\Microsoft\\\\{registry_key_9}; ValueName: {registry_key_8}\")\r\n print(f\"[+] Config : [HKCU|HKLM]\\\\Software\\\\Microsoft\\\\{registry_key_11}; ValueName: {registry_key_13}\")\r\nif __name__ == \"__main__\":\r\n main()\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 31 of 43\n\nЗа алгоритм взаимодействия с контрольным сервером отвечает плагин Network. Он извлекает адрес C2 в виде URL-строки из конфигурации и в зависимости от указанной в нем схемы выбирает один из коннекторов, доступных в\r\nплагине NetSocket. Все они реализуют общий интерфейс, позволяющий единообразно принимать и передавать\r\nсетевые сообщения. Перед отправкой сообщения сжимаются с помощью алгоритма LZNT1 и шифруются\r\nмодифицированным Salsa20 с использованием случайного ключа.\r\nДля разрешения домена контрольного сервера бэкдор последовательно использует DNS over HTTPS и обычные\r\nDNS-серверы, указанные в конфигурации (публичные серверы Google и других провайдеров), прежде чем\r\nобратиться к стандартному механизму. Это дает ВПО возможность скрыть домен C2 от средств инспекции сетевого\r\nтрафика.\r\nСреди поддерживаемых протоколов соединения — TCP, TLS, HTTP, HTTPS, UDP и DNS.\r\nДля TCP доступна опция REUSEPORT — ее указание приводит к предварительной привязке сокета, с помощью\r\nкоторого выполняется соединение с C2. Привязка выполняется к наибольшему свободному порту в диапазоне\r\nсистемных (well-known) портов. Порты перебираются начиная с 1022 в порядке убывания. По-видимому, такая\r\nтехника внедрена для обхода средств защиты и маскировки трафика под системные сетевые сервисы.\r\nВ бэкдоре также предусмотрена возможность получения нового C2 по протоколу HTTP. Для этого может быть\r\nиспользована веб-страница, адрес которой указывается в конфигурации со схемой URL://. Страница загружается,\r\nпосле чего в ее теле происходит поиск подстрок agmsy4 и ciou0, которые обозначают начало и конец строки с\r\nконтрольным сервером. Эта строка закодирована с помощью base16 (hex) с алфавитом abcghimnostuyz0456 и\r\nобрабатывается аналогично адресу из конфигурации.\r\nКоннекторы TCP/TLS и HTTP/HTTPS поддерживают соединение через прокси-сервер, который может быть получен\r\nс помощью плагина NetProxy. Плагин имеет собственное хранилище прокси, которое располагается в реестре и\r\nможет наполняться значениями из конфигурации, системными прокси и данными из установленных браузеров\r\n(Chrome, Opera и Firefox). Кроме того, плагин имеет функциональность встроенного сниффера, который\r\nпрослушивает трафик зараженной машины с помощью raw socket. Если сниффер обнаруживает в исходящем пакете\r\nпопытку соединения с прокси-сервером (SOCKS4, SOCKS5 или HTTP), он сохраняет информацию о нем в\r\nхранилище.\r\nПрежде чем подключаться к контрольному серверу, бэкдор проверяет расписание: в его конфигурации может быть\r\nуказано до четырех записей, содержащих дни недели и часы, в которые соединение запрещено.\r\nПосле установки соединения бэкдор может выполнять следующие команды:\r\nID Описание\r\n0x210 Сбор информации о системе\r\n0x211 Создание отдельного соединения для работы с плагинами\r\n0x212 Самоудаление\r\n0x213 Пустая команда (пинг)\r\n0x214 Деактивация соединения\r\n0x215 Обновление шеллкода для инжекта, который хранится в реестре\r\n0x216 Обновление основного шеллкода на диске. Все сохраненные в реестре плагины удаляются\r\nЕсли получена команда, которой нет в списке выше, то предполагается, что это сетевая команда одного из плагинов.\r\nЕго ID определяется наложением маски 0xFFF0 на идентификатор команды. Если плагин отсутствует локально, он\r\nпредварительно загружается с C2 и сохраняется в реестре.\r\nНа зараженной Deed RAT машине нам удалось обнаружить единственный плагин, полученный динамически с\r\nконтрольного сервера. Он называется Shell и имеет ID 0x270. Shell поддерживает две сетевые команды (0x270 и\r\n0x271), каждая из которых запускает указанный процесс и перенаправляет его ввод-вывод на C2. В первом случае\r\nвзаимодействие происходит в текстовом режиме через потоки (pipes). Во втором случае используются операции\r\nWindows Console API, что позволяет злоумышленникам полноценно эмулировать консольное окно на своей стороне,\r\nучитывая информацию о размере экранного буфера, позиции курсора и другие параметры.\r\nВ конфигурации исследованного нами образца содержался следующий набор строк:\r\nСтрока Назначение\r\n%ALLUSERSPROFILE%\\Test\\Test.exe\r\nПуть к легитимному исполняемому файлу (путь\r\nустановки)\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 32 of 43\n\nСтрока Назначение\r\nTmDbgLog.dll Имя библиотеки для DLL Side-Loading\r\nPTWD.tmp Имя файла с зашифрованным шеллкодом\r\nTest Имя сервиса\r\nTrend Micro Platinum Отображаемое имя сервиса\r\nPlatinum Watch Dog Описание сервиса\r\nSOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce Ключ для закрепления в реестре\r\n%windir%\\system32\\svchost.exe Имена процессов для инжектирования кода\r\n%windir%\\system32\\taskeng.exe\r\n%ProgramFiles%\\Internet Explorer\\iexplore.exe\r\n%windir%\\system32\\WmiPrvSE.exe\r\nhio2cF9VF2Jsdf9n\r\nИдентификатор, отправляемый вместе с\r\nинформацией о системе\r\nasdRFSDabormhkmfgUIYGBDURE Имя мьютекса\r\nhttps://dns.google/dns-query Адреса серверов DNS over HTTPS\r\nhttps://cloudflare-dns.com/dns-query\r\nhttps://dns.adguard.com/dns-query\r\nhttps://dns.quad9.net/dns-query\r\nTCP://ftp.microft.dynssl.com:53412 URL контрольного сервера\r\nЗаключение\r\nAPT-группировки с азиатскими корнями продолжают атаковать российские компании, что подтверждает и\r\nактивность группы Space Pirates. Злоумышленники как разрабатывают новое ВПО, реализующее нестандартные\r\nтехники (такое, например, как Deed RAT), так и используют модификации уже существующих бэкдоров. Иногда\r\nтакие модификации могут иметь множество слоев обфускации, добавленных для противодействия средствам\r\nзащиты и усложнения процедуры анализа — как в случае BH_A006, построенного на коде популярного бэкдора\r\nGh0st.\r\nОтдельную сложность в случае APT-групп азиатского региона представляет точная атрибуция наблюдаемой\r\nактивности: частый обмен используемыми инструментами, а также совместная в некоторых случаях деятельность\r\nразличных группировок существенно затрудняют эту задачу. Основная часть нашего исследования построена на\r\nрезультатах работ по расследованию инцидента ИБ у нашего клиента и анализу специфической сетевой\r\nинфраструктуры, использующей DDNS-домены. Полученные данные позволяют уверенно утверждать, что за\r\nвыявленной активностью стоят одни и те же злоумышленники.\r\nСпециалисты PT ESC продолжат работу по мониторингу угроз: новые факты могут дать больше информации о\r\nдеятельности группы Space Pirates и ее взаимосвязи с другими группировками.\r\nПриложения\r\nMITRE\r\nID Имя Описание\r\nInitial Access\r\nT1566.001 Phishing: Spearphishing Attachment\r\nГруппа Space Pirates использует фишинговые рассылки\r\nс вредоносным вложением\r\nT1566.002 Phishing: Spearphishing Link\r\nГруппа Space Pirates использует фишинговые письма со\r\nссылками на ВПО\r\nExecution\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 33 of 43\n\nID Имя Описание\r\nT1059.003\r\nCommand and Scripting Interpreter:\r\nWindows Command Shell\r\nВПО группы Space Pirates имеет функциональность\r\nудаленной командной строки\r\nT1059.005\r\nCommand and Scripting Interpreter:\r\nVisual Basic\r\nГруппа Space Pirates использует VBS-скрипты, включая\r\nReVBShell\r\nT1106 Native API\r\nВПО группы Space Pirates использует функции WinAPI\r\nдля запуска новых процессов и внедрения шеллкода\r\nT1053.002 Scheduled Task/Job: At (Windows)\r\nГруппа Space Pirates использует atexec.py для запуска\r\nкоманд на удаленном узле\r\nT1053.005 Scheduled Task/Job: Scheduled Task Группа Space Pirates использует системные задачи\r\nT1569.002 System Services: Service Execution Группа Space Pirates создает вредоносные сервисы.\r\nPersistence\r\nT1053.005 Scheduled Task/Job: Scheduled Task\r\nДля закрепления на узле группа Space Pirates создает\r\nсистемные задачи\r\nT1543.003\r\nCreate or Modify System Process:\r\nWindows Service\r\nДля закрепления на узле группа Space Pirates создает\r\nвредоносные сервисы\r\nT1546.015\r\nEvent Triggered Execution:\r\nComponent Object Model Hijacking\r\nВПО RtlShare закрепляется в системе через подмену\r\nCOM-объекта MruPidlList\r\nT1547.001\r\nBoot or Logon Autostart Execution:\r\nRegistry Run Keys / Startup Folder\r\nДля закрепления на узле группа Space Pirates может\r\nразмещать ярлык в папке автозапуска и использовать\r\nключи реестра Run и RunOnce\r\nPrivilege\r\nEscalation\r\nT1548.002\r\nAbuse Elevation Control Mechanism:\r\nBypass User Account Control\r\nВПО группы Space Pirates содержит различные\r\nтехники для обхода UAC\r\nT1068 Exploitation for Privilege Escalation\r\nГруппа Space Pirates может использовать уязвимость\r\nCVE-2017-0213 для повышения привилегий\r\nDefense\r\nEvasion\r\nT1027.001\r\nObfuscated Files or Information:\r\nBinary Padding\r\nДроппер RtlShare добавляет случайные байты в\r\nизвлеченную нагрузку\r\nT1027.002\r\nObfuscated Files or Information:\r\nSoftware Packing\r\nОдна из стадий ВПО BH_A006 обфусцирована с\r\nпомощью неизвестного протектора\r\nT1036.004 Masquerading: Masquerade Task or\r\nService\r\nПри создании сервисов группа Space Pirates использует\r\nлегитимно выглядящие имена\r\nT1036.005 Masquerading: Match Legitimate\r\nName or Location\r\nГруппа Space Pirates маскирует свое ВПО под\r\nлегитимное ПО\r\nT1055 Process Injection\r\nВПО группы Space Pirates может внедрять шеллкод в\r\nдругие процессы\r\nT1055.001\r\nProcess Injection: Dynamic-link\r\nLibrary Injection\r\nВПО группы Space Pirates может внедрять DLL с\r\nполезной нагрузкой в другие процессы\r\nT1078.002 Valid Accounts: Domain Accounts\r\nГруппа Space Pirates использует скомпрометированные\r\nпривилегированные учетные данные\r\nT1112 Modify Registry\r\nDeed RAT хранит в реестре все свои данные, включая\r\nконфигурацию и плагины\r\nT1140\r\nDeobfuscate/Decode Files or\r\nInformation\r\nВПО группы Space Pirates шифрует конфигурационные\r\nданные и полезную нагрузку с помощью различных\r\nалгоритмов\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 34 of 43\n\nID Имя Описание\r\nT1197 BITS Jobs\r\nГруппа Space Pirates использует BITS Job для загрузки\r\nВПО\r\nT1218.011\r\nSigned Binary Proxy Execution:\r\nRundll32\r\nГруппа Space Pirates может использовать rundll32.exe\r\nдля запуска DLL-библиотек\r\nT1553.002 Subvert Trust Controls: Code Signing\r\nГруппа Space Pirates использует похищенные\r\nсертификаты для подписи некоторых экземпляров\r\nZupdax\r\nT1564.001\r\nHide Artifacts: Hidden Files and\r\nDirectories\r\nГруппа Space Pirates может хранить свое ВПО в\r\nскрытых папках по пути C:\\ProgramData\r\nT1574.002\r\nHijack Execution Flow: DLL Side-LoadingГруппа Space Pirates использует легитимные\r\nприложения, уязвимые к DLL Side-Loading\r\nT1620 Reflective Code Loading\r\nВПО группы Space Pirates использует рефлективную\r\nзагрузку для запуска полезной нагрузки в памяти\r\nCredential\r\nAccess\r\nT1555.003\r\nCredentials from Password Stores:\r\nCredentials from Web Browsers\r\nГруппа Space Pirates использует утилиту Chromepass\r\nдля извлечения паролей из хранилища браузера Chrome\r\nT1003.001\r\nOS Credential Dumping: LSASS\r\nMemory\r\nГруппа Space Pirates получает дампы процесса lsass для\r\nдальнейшего извлечения учетных записей\r\nT1040 Network Sniffing\r\nDeed RAT собирает информацию об используемых\r\nпрокси с помощью прослушивания трафика\r\nDiscovery\r\nT1087.001 Account Discovery: Local Account\r\nГруппа Space Pirates собирает информацию о\r\nпользователях посредством команды query user\r\nT1087.002 Account Discovery: Domain Account\r\nГруппа Space Pirates собирает информацию о\r\nпользователях в домене посредством легитимной\r\nутилиты CSVDE\r\nT1082 System Information Discovery\r\nВПО группы Space Pirates собирает информацию о\r\nсистеме, включающую версию ОС, информацию о\r\nпроцессоре, памяти и дисках\r\nT1614.001\r\nSystem Location Discovery: System\r\nLanguage Discovery\r\nDeed RAT в процессе сбора информации о системе\r\nполучает языковой идентификатор LCID\r\nT1016\r\nSystem Network Configuration\r\nDiscovery\r\nГруппа Space Pirates собирает информацию о сетевых\r\nпараметрах зараженной машины\r\nT1069.002\r\nPermission Groups Discovery:\r\nDomain Groups\r\nГруппа Space Pirates собирает информацию о группах в\r\nдомене посредством легитимной утилиты CSVDE\r\nT1083 File and Directory Discovery\r\nГруппа Space Pirates собирает информацию о наличии\r\nфайлов в системе по расширениям .doc и .pdf\r\nT1033 System Owner/User Discovery\r\nГруппа Space Pirates собирает информацию о\r\nпользователях скомпрометированных компьютеров\r\nT1057 Process Discovery\r\nГруппа Space Pirates использует утилиту tasklist.exe для\r\nполучения информации о процессах\r\nLateral\r\nMovement\r\nT1021.002\r\nRemote Services: SMB/Windows\r\nAdmin Shares\r\nГруппа Space Pirates использует утилиты atexec.py и\r\npsexec.rb для продвижения по сети\r\nCollection\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 35 of 43\n\nID Имя Описание\r\nT1119 Automated Collection\r\nГруппа Space Pirates производит поиск и копирование\r\nфайлов с масками *.doc и *.pdf\r\nT1560.001\r\nArchive Collected Data: Archive via\r\nUtility\r\nГруппа Space Pirates собирает в защищенные паролем\r\nархивы украденные документы с помощью 7-Zip\r\nT1056.001 Input Capture: Keylogging\r\nГруппа Space Pirates может записывать\r\nпользовательский ввод с помощью своего ВПО\r\nCommand\r\nand Control\r\nT1071.001\r\nApplication Layer Protocol: Web\r\nProtocols\r\nDeed RAT может инкапсулировать свой протокол в\r\nHTTP и HTTPS\r\nT1071.004 Application Layer Protocol: DNS\r\nDeed RAT может инкапсулировать свой протокол в\r\nDNS\r\nT1132.001 Data Encoding: Standard Encoding\r\nВПО группы Space Pirates может сжимать сетевые\r\nсообщения с помощью алгоритмов LZNT1 и LZW\r\nT1573.001\r\nEncrypted Channel: Symmetric\r\nCryptography\r\nВПО группы Space Pirates может шифровать сетевые\r\nсообщения с помощью симметричных алгоритмов\r\nT1008 Fallback Channels\r\nВПО группы Space Pirates поддерживает работу с\r\nнесколькими C2 и может обновлять список C2 через\r\nвеб-страницы\r\nT1095 Non-Application Layer Protocol\r\nВПО группы Space Pirates использует собственные\r\nпротоколы для коммуникации с управляющим\r\nсервером\r\nT1105 Ingress Tool Transfer\r\nГруппа Space Pirates загружает дополнительные\r\nутилиты с управляющего сервера посредством утилиты\r\ncertutil\r\nT1571 Non-Standard Port\r\nГруппировка Space Pirates для связи с управляющим\r\nсервером использует нестандартные порты, такие как\r\n8081, 5351, 63514 и другие\r\nT1572 Protocol Tunneling\r\nГруппа Space Pirates для туннелирования трафика\r\nиспользует утилиту dog-tunnel\r\nT1090.001 Proxy: Internal Proxy\r\nDeed RAT может обнаруживать и использовать прокси\r\nдля соединения с C2\r\nIOCs\r\nФайловые индикаторы\r\nMyKLoadClient\r\n947f042bd07902100dd2f72a15c37e2397d44db4974f4aeb2af709258953636f 09c29c4d01d25bae31c5a8b29474258dc1e40936 a2f2e6cdd27c13\r\n949cb5d03a7952ce24b15d6fccd44f9ed461513209ad74e6b1efae01879395b1 55604a258d56931d0e1be05bcbe76f675ed69e6e 5cce810a04197d\r\n35e36627dbbcb2b6091cc5a75ab26d9e5b0d6f9764bc11eb2851e3ebd3fbfe6e 415ae82bc0aa94e425009068a239e85a78b8e837 f250cc6ea8b240\r\n730b9ee9f031c8c543664ee281c7988467a3c83eabbbde181aa280314a91ba41 7be81aa01715c78166b8529eb999ec52f01a6367 399e655f1544e6\r\n16c2e10b2e3d74732edfae4a4fcc118600e9212162256434f34121fa41eaf108 7f9d53dc8247e68bfc30c2399eb227a9f1aa9dae 850c1355f713c6\r\nb822a4ec46aacb3bb4c22fe5d9298210bfa442118ee05a1532c324a5f847a9e6 869bd4d2520e5f2cf1d86e7fa21d0fb9a8fae41b 12c83dc14e08c2\r\n192499ad69ec23900f4c0971801e7688f9b5e1dc5d5365d3d77cb9bf14e5fd73 c3f82d46c5138ba89e3a8fe5ea80ce3b0d2467c0 5865679e252c0c\r\n56b9648fd3ffd1bf3cb030cb64c1d983fcd1ee047bb6bd97f32edbe692fa8570 a8d5e941b04cdd0070fe3218fa1bc04fb1bdd1b4 a5d85f982d6650\r\n0bac8f569df79b5201e353e1063933e52cfb7e34cd092fc441d514d3487f7771 64d97ea909a9b14857490724f19b971bb95d641d cb9617de5bc939\r\n1bab80116fa1f1123553bdaf3048246f8c8a8bb3a71b2a13e87b704e68d10d2b 3f32c341a71a32b6421822f44d4efde30d15421b e26713d8091da\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 36 of 43\n\n444d376d251911810f3f4b75923313b3726050153d50ad59deff5a0b8b1ada20 90ff670baddb8bce0444a8a422096461e78fb287 bf11b368d61092\r\n84eb2efa324eba0c2e06c3b84395e9f5e3f28a3c9b86edd1f813807ba39d9acb 82c18765ac3a1a2ecf3f258c0912beaf5aedd175 ddc9174f111e8a\r\n14b03ac41b5ef44ca31790fefb23968f2525c3aabfe11e96b9b1ccb6215eb8be e5882192901c00d8ac47bd82b7d4565761847e7b 7b7c21eac0d9a0\r\nb1d6ba4d995061a0011cb03cd821aaa79f0a45ba2647885171d473ca1a38c098 9f671e338bc9b66e2dd3b7a3c9115723911b8f65 135f224c2d740b\r\n5847c8b8f54c60db939b045d385aba0795880d92b00d28447d7d9293693f622b 878b2b8543ee103841cf30af70813b1c27434d71 10b52c1ccaba52\r\n95811d4e3c274f4c2d8f1bf092b9ddc488aa325aabf7c87a2c4877af4ba8bfb7 6b0bebd54877e42f5082e674d07563f527fdd110 fed14e228ba25f\r\n0712456669e65b2b3e8d1305256992c79213a6dd4fd9128cf3e78ab9bae3cff6 ee6b0845ebaae57f88b262c198fad8cf151f6b85 72571ebddf49e7\r\n607c92088b7a3256302f69edbfad204cab12bf051a5aac3395130e18ae568dd5 2452567c5e28f622fa11c8e92f737cd5d8272abf 3562bd5a94f4e8\r\nd0fb0a0379248cdada356da83cd2ee364e0e58f4ed272d3369fe1d6ca8029679 96bae22955bd85110c3f0b7de9a71b81c025f76a 8a8425a0a4988f\r\na8a16168af9dcdc4b34d8817b430a76275338dbbda32328520a4669dbe56e91b 57bd45e4afb8cd0d6b5360de6411ae0327812d5f a2b245bbb1de4f\r\n7b7a65c314125692524d588553da7f6ab3179ceb639f677ed1cefe3f1d03f36e a97b1e1e0de7f0eab5304d206f4d7131987aca6e 568594397a24a5\r\nf6c4c84487bbec5959068e4a8b84e515de4695c794769c3d3080bf5c2bb63d00 9358b341bc217dcd15599b43d88b157f8a9f4882 05a025736a6fd7\r\n467979d766b7e4a804b2247bbcdde7ef2bbaf15a4497ddb454d77ced72980580 ae021c91c759d087ead95319608326e0ed154cfd 78acab8a8d2639\r\n3e57ca992c235b68027cb62740d8e86a3294ac0ebcff4a2683b29bdaec016646 aad3241fd23372523528a99f4c18127a3ebbea59 a75c81a18e3965\r\nc3415bddc506839614cbb7186bfc6643713806de4f5b1c15445e96a644b44bea e29b263a89217412f45d6c7a0235b19af030755a b1f907379148c1\r\nd3a50abae9ab782b293d7e06c7cd518bbcec16df867f2bdcc106dec1e75dc80b a9d64e615171b05a402422056ddfcd250febae93 b03192389159b\r\n69863ba336156f4e559364b63a39f16e08ac3a6e3a0fa4ce11486ea16827f772 ec928047d511286c4db2580045d02ced34b639ea 27ea69e0233f32\r\n50f035100948f72b6f03ccc02f9c6073c9060d6e9c53c563a3fdb1d0c454916e d5ce13a66e8407baec0f447c7fb41d493fd8d73a 343a9cc37cc984\r\n6bc77fa21232460c1b0c89000e7d45fe42e7723d075b752359c28a473d8dd1fd 74847db3abdb5b0fd3952bb76018f9346815035a 359ae18fbfc16b\r\n3ccae178d691fc95f6c52264242a39daf4c44813d835eaa051e7558b191d19ee 0e40d0424aefa672c18e0500ff940681798f2f02 196222b313b6c\r\na99612370a8407f98746eb0bf60c72393b1b4a23f52e7d7a6896471f85e28834 757af512d07fc8fe1167750a748dbb9c700f71f1 6b2e4ff182bffe5\r\nZupdax\r\nf2ce101698952e1c4309f8696fd43d694a79d35bb090e6a7fd4651c8f41794a3 9ec2f21641bd3f482b4c85cd6050432dc05e7680 d0cb15e5fd961e\r\n84b8bfe8161da581a88c0ac362318827d4c28edb057e23402523d3c93a5b3429 6f1b4ccd2ad5f4787ed78a7b0a304e927e7d9a3c 6e9ff09f5a7daa4\r\n3a093f2c2cb5ba59197a4c978cfa9687d5778a53ae17c2ce2757d3577a5e7c69 9e0e0582eef9e2e2f38893a06c552d607f835fcc b0f95350b13b65\r\n137a3cc8b2ecd98f7d6b787d259e66ca2c1dae968c785d75c7a2fecb4cbbcaf0 1a7967c6357269414cfd1f9e1060a8613bc59f7b 869de5ac4d3520\r\n9e010a2b43a6b588b95b5281544739833fb0250e8e990a4fe9879459f92367d0 24732b6b00326439dc373df56aff78c9c82d7169 814019ff0004d54\r\n408608c6b6f7299561c04f37ab46ca9c82834428ad0e8d42b16ca5da9b86d62e 9f596346c9acc09772bc5baf8c4dbc80fbdbf03b 3801a156c01b2d\r\n6cc33a21417967a1bb3294179ea10aa3d9ee8d945a5ea0f6c44530189344a10a 6f43f6e8cb1474a6272f9632487fa1932dfba18c 6d6c3cbf2c2a3f1\r\n24b749191d64ed793cb9e540e8d4b1808d6c37c5712e737674417573778f665b 26062de2657bd2a3c228049af27333d2c46a041b 58c734474fc415\r\na95dfb8a8d03e9bcb50451068773cc1f1dd4b022bb39dce3679f1b3ce70aa4f9 1e8bf3c1a05f37857a9e8f7adb773ed9b9af1b8b 4ef9466b7ef300e\r\nefaa30bef6327ca8123e5443aa831dd7173de8ac9a016aaa2ae878641f85f952 04951144dc621f5f7ff2d66c8bcb710b77cc3d55 80397808492e12\r\n699bd1babf50a360e0a2ba6b5e0ed2379571ee8356f3f08b09ff8ce434d72696 3c10a0256cc1f0af3c31770314257eb8f994260c 09c34b06199eb1\r\nd6af2d1df948e2221a4bdaa3dd736dc0646c95d76f1aa1a1d314e5b20185e161 44858761afc0439ba361c90f04ae9719b362d315 9afe1f1936145a0\r\n0ecd7741dbdfa0707ccd8613a5ea91e62ab187313dd07d41760c87ed42649793 daacbe773105fd7b0834ed2e3a05ef80275e3c11 e8357ac87261f7\r\n2360fa60a1b6e9705bf6b631fcfe53616f37738cf61bc0444ea94ce09c699c7f 54e9de60e3a5c58fc2f3daadd18a1355350e13ec e0592c56ee8f0a2\r\nffe19202300785f7e745957b48ecc1c108157a6edef6755667a9e7bebcbf750b 25d0321df77623c5af6629c357201941d4cd452c ddf7ed52856f7ab\r\nd45c1ce5678259755df24bd680316a945515fc1bd916ce1d504f9d27cf9d03e4 0f5a74f11c270a02b0c0cc317e0b850c78261b04 a2972cb5228a56\r\n00847787ea6568cfaaa762f4ee333b44f35a34e90858c1c8899144be016510ef d82bc3800396452ee519fbb35f708802fee335af 41f3e576216bb5\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 37 of 43\n\nDownloader.Climax.A\r\nfa2305975aded0fd0601fdab3013f8877969cb873fb9620b4d65ac6ff3b25522 003f46f74bbfc44ffd7f3ebfec67c80cf0a07bbf 24b90157056913b\r\n0a0ce7fb610e3c037beb2c331e147c8750ba9f7ea2ece2f91f27f1a83c6839e4 1e0a63331814aab39ffb7806289a8ef3433553c3 68875f4b80fd1350\r\n898741e11fbbe6b5534fb12a489add1aaa379ee6757c0bd8d6c631473d5c66f7 3fa2f11e142f5f07f2dd63d89b58d01e9397ded0 1fe521f0ad241457\r\n59e4b8d2b65f1690139c094ee27182285febda115304c44e8d9e7329e09dc794 18cd249add7cfae87615ca5b32aca8503337a2d6 9bf855e5e8480fdb\r\n0c64cc96a52ff9bdf6593e948fed1bc743bdf714ec1f7b392490423d927c3bb4 bb1c27db5f8d7e43592fa81cbfa319f1ce7c828f 0830581452de0c9\r\n1ca423fe0159e75718eb66524cd24002071a06b2fa68ce2cbb39d10682a154a6 78c8298b8357eee1a2d5d9da86f290bad798ce39 ff5896c0749b1e8c\r\ne9c94ed7265c04eac25bbcdb520e65fcfa31a3290b908c2c2273c29120d0617b 47edf57c5724ef9ff232dbb76f749977c767106a ef8bcb5865669bc1\r\nd376164e377577fc590a780d15603d6411fde6e45ea21971670d5dff597d9def d9e12317a43f233a739972723abc00f1b88f53b0 5faa973967fee2f3\r\n4301abae1a62f87b1c51acc6a6b4f2c3926a248b4aa9c04b734cef550196c030 cc402936b3d6fa5db14b54f0065404d975f2aeb5 f0f2731cabf1c1a6\r\nDownloader.Climax.B\r\n7d9e1a193402b87dbbb81c2ab95632686154cff9c991324e46b275850a4b2db6 36a6eb414c9b8a7c2cdf12eb46e490d288e7a47a 98416b41f386bb4\r\ndd82a7b9b5dc0ee1f9e9f19d46212f3e2a1d09a816f5c0ece96275ee221fca13 cf0fb4950130abddead04c21316912418562bf8a a74341091f88d59\r\n9f4d15ca56f87a5ded792f2a27a4c112bf59517079aedbefe49fcd0474600b69 bbbca10a8545b0421fbfcbd0b3b7a42527fea641 1bdaa370b064f90\r\n5872abe12a8e4c7182e4c6a894d6c27961b00d333657736bcbfd7cb1b38af2ed 133eca56512d8d5f8c730e102bf9042915e9bf41 c60df47562dba1c\r\n8dcb99e56c888800e0712faddc07d991b6dcb7a6fd4cceffe9e27fe3da83d206 2e76fa63adc870ca1de19fc7ea5afd6860f36e32 1a22342f883ad15\r\n7079d8c92cc668f903f3a60ec04dbb2508f23840ef3c57efffb9f906d3bc05ff 8993d0d5ec2f898eb8d1b8785cc5bb3275b43571 1690766e844034\r\n5e8df46c9bc75450e2660d77897fa3dfa4d6c21eea10a962f7a9cf950ca9ca76 b0506335e332d64d6568f7830a8fab6a8a6ce1f8 923d60f3e63c950\r\nRtlShare\r\n8932c2d1ed0ae1f64d9cff4942f08699b4a7b1b30f45626d7bc46c8c51f8a420 8903e04d7ffae2081867337801ca2fa5f93220bd 9d116d9415168293\r\n8ac2165dc395d1e76c3d2fbd4bec429a98e3b2ec131e7951d28a10e9ca8bbc46 c0988a4ade711993632a03a2f82eea412616ef2a ab01a4642e76df9e\r\n3f6102bd9add588b4df9b1523e40bb124af36a729037b8c3f2261563e4fa4be9 c865ef013018db3ed00f946b96a7a98ef2660e65 e8e966455a60c6f5\r\n785ac72b10fd9cf98b5e2a40dc607e1ff735fcd8192bf71747755c963c764e2d a429d9c8c67c8c8036ef05f7b4a27530ee6ae98a f15c15e2b26f47b43\r\nPlugX\r\n0f7556c6490c4a45a95f5b74ced21185fe48a788bcbe847017084ec1bf75d20a 53a17133173ee8f32261d4ac8afb956e1540f7be 4b6e1f5375552e\r\n429b6c5d380589f2d654a79ea378db118db4c1fd1d399456af08e807d552e428 97ecc5aba4ce94a5012dcf609f2d325f293d4bea 3f8de0e26ee2f1\r\n0956ab263c7c112e0a8466406e68765350db654dbe6d6905e7c38e4f912a244e 457a592ece5e309cc8844623f29fc6be62c5be60 bdc734d2c049d7\r\n1c0cf69bce6fb6ec59be3044d35d3a130acddbbf9288d7bc58b7bb87c0a4fb97 ef3e558ecb313a74eeafca3f99b7d4e038e11516 b4f12a7be68d71\r\na072133a68891a37076cd1eaf1abb1b0bf9443488d4c6b9530e490f246008dba e9e8c2e720f5179ff1c0ac30ce017224ac0b2f1b d5f5bb6368735f\r\n1bad7e53cb4924576b221a62d2cddb4d18bd387734328b7d48e32046700e2df9 7539e5f25b3e66ea849ebee6bf6104d504573035 25db7152f66588\r\n39083375012d2a854e6310411e7ce4c4e3440bd5784ae158599be25deaeabcb5 7ad24d1873325a02ca4644ebbebe5c5f95bb927c e7a9d56297f8d0\r\n3c4483e1185d00b282b19910ad5e7970462122b8b7d8895860ffc132a05b3b9d 62d33015859f49e2ad178239891dbed78a0e2de6 a83b0a6b5c590a\r\nf8885d5caeec2627d808dc20bd1fbcd42732700686d34f1bb29d83d5d5115ee0 8a44433cfc2e4f116ebd59aac5f596f83c468d44 633eaedd4944db\r\n07ef63b7c9554065e3a6047404d2526e8c8e450c5fe977247336626be403d790 a397d9d7d242bc748dc2bf5307d0f16c5144d98d cfd0a7ab2c2c99\r\n8d2ff35a5c941cb2f0438969be1a16116efacb51bb9820e6facc285640855682 702cf75a6b23a18001a909d6743a739837cc2053 0fe86427810229\r\n31af406fababf825eb15969970f5de1d2de9fa29a3ca609aed3174c48806492f 12e4407d5341836635ce54727ad4dae7712c2a4c f4c9dd900488d6\r\nc150172ae47f9708bf4a87cf67eb19b09e6d4f5a565043f309c1da5ffc9bd656 eb6b2ddf1da767848ffe51f14b177298173227f5 7a4a791eeb0a19\r\n5f8e8eada8ad8fcb007a1da7d2dedfdc55473cd5d65a287224c345edf9c1e964 a7837c8e3f789a112fbc2eea623c4e03664280ce 11fba00953cbd5\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 38 of 43\n\nfda4712cfb3007e7eb5f61b37c746640ff5428108c74106352b69a11193d79a1 628dc1642de5e74bf230e9b933f264196b9678bb be4625cb6e797b\r\n17c4a6adca907b7cd0fc75d6008a307a3813ac3b75bfebb4f173360b5d2e7964 d5959009d3a2bdadd0db5385706920da21e5c8d4 ff7b237c3049fce\r\nb153195807d9b58168bba751517498268e396a79965c5d323fad5c16bbc9520d c14b4468a33b12250b560a0c7e884e01dd986c95 9f4150eee0d18c\r\n7112f1033f1fafd9cef1862f6ea0a77994858bb54270deede1ed24b0f18fa7b1 bc0a54644b5ba7eff9ca10d8b42d73f0c69e4c53 824e76688a5b5b\r\n5ece318d3df972291896e858b76224c5ec34637d5409db44c89ec67ee0a6089d b253c8ff5fc2cb1ea8933721c3a4002a42eec2f9 b0b6d1d000f031\r\ne452ea28a9d3e37a2ac0cb8f4bca8ce41bea1a362d4c1680ab3ccaec6e5123d9 7f81103b574a3c26b478e9ab41abc422f979f299 49a5af86baf3d7\r\n195b39d40cd9d50e0b4b6b41f8b45140bb0f6e201e75b4398bd07b1e5959970b 5d449cad4b2a8d8a6b7489d82b110c370142acdd ff58ce5d9d7650\r\n675abcf2bc7b1792b50fa296315f39ce5ac8e7e3f754a9be867eb0dd6bbf1799 103cf5647a8dc33d9d611b5b1eafc3e498d02dab cb9b8cf286b846\r\ne60757a893881559104513d75cf521c8f72e10653442b9f2510402453e48cdcb b2e4179f7a2d1942fdb8e0fff632a3b65e9dce37 3a0536d8cd9311\r\na9acf75a658cb6e8aed6f638b08931fbe74f7b69a26e6b45486caff9d8e455a4 187541ef47985e11324be53309808e23b33c12a1 ef479d7cd2e77a\r\nad48650c6ab73e2f94b706e28a1b17b2ff1af1864380edc79642df3a47e579bb f1a8c309806c90c100e680299a037ec71cf4397c 1cba2ec3fc5f145\r\n0b1ed5214dd31a241920de4b5c7cdf3f02ad5f76260bcd260328732c9bedbcec 9be46478e3cbeb51267b8fb88952860790051c07 b404e426c53c06\r\n555fd0d7c1584f7b504ac65f34017f7070ee12ce0f4070cd0555361b3adea54c 1f10627b46b51a97b059395bf062117fdfae4cf0 895644020eba9e\r\nfe885d1a2bef4e99dcbcacd9393c59ed52a718ff2cbbc6a15e443e150edaa662 9d490725443c9f426cdc0bfa75b3d900404153c0 13febb9240f37a\r\n354c3c2a7602475b72727158ebae8261f0ac9f2ce6c2ab86ee9ec38169b40f62 68a651026a3bae94776a9e1a45c6cca58b9609b7 1d866ed934518\r\nab1282afced126da7d330d7be338dfe1f3623970a696710e55a67fb549118f1d 3ebe6bd2d44a4d54d8ba314b92c9c379398bf095 c063adbb4a8a41\r\ne3d32b0758f98b55483a18631ae42e944c387b5a73b1fbc39f62b2c13a6ec198 5fe3b83b3ccdf78303b59e5f3e628a2cf80e9d13 923165c972c386\r\na4576ca47764284bc3aa8e5dacad84163ca56258dc8af4aa4916bb3bacbd58e0 1166b3daa8ad2496a8b71f37656be7ac41821e03 a1503cec20057e\r\n8871bd39918868d4f4390e430e82730819182a8ae9fb3ef7096c2ce5dbafbe26 f1d74087627879e224303ee56e74d53f6dc67204 ec0a9cecb7e1b4\r\nf5e780d10780f45adb0ddc540978d7e170e8c143a251003651e12c18142cee16 8e5ef3c08eb584d041a7aa93473aa2e31787d111 f16790e4e20293\r\n37b3fb9aa12277f355bbb334c82b41e4155836cf3a1b83e543ce53da9d429e2f ea7595bff1cfd1d72fe72417bf263d9adc9bc59e 9ae8a7837c60f3\r\n6cd5079a69d9a68029e37f2680f44b7ba71c2b1eecf4894c2a8b293d5f768f10 50064d66c9b55b6f7d22051b81914d8366fe36c8 d5915394a6916\r\nc21a3a44b46e7242c0762c8ec5e8a394ddc74b747244c5b83678620ae141e59c 31d67b5a5588b2d28365534c36a7b754f28e1df9 ecab63b6de1807\r\nfe18adaec076ffce63da6a2a024ce99b8a55bc40a1f06ed556e0997ba6b6d716 1e8dee59355e064790d05e44199443d94ab1aa02 219983c1a7c6c0\r\nPlugX demo dropper\r\n50f1092795c493c5275637b81fbcacfc4ca7951dfda06782a792988bbde2f5a1 8e0ee1ceb7ce14994a481c266eef1f67087b59b1 6dfabe77bf18f142\r\n82894e2534feb0d9edbb3dd5339c3ff0f6eb73b07e40f0f8b15e759e8a55d052 0b8c9bbea5614d2fec852cf2f74fd20b591edbb2 814e3cfdbf77e8b4\r\ne5f471dcd4f5a47f0a53fc389e58c70b9ef81805c503ed6b100950d02ee7f777 9eb2ed9db419cda517fbea69a9204644e946913c a70db29d6a7ba15\r\naeee80588212bc941e179ca95931a91bf446cbc1446111d4e520243d708f1d5b dbb93c7b7e36b5eb0dd408e836f7bf305ee076bf 661635e774fef37e\r\nc66dda5131c0aaa118e7cbb5de16fbc984f1f0c9194717b8981bca0fb024f170 58ec65e2d39e3dff7df3c85d3896ab37a04cd475 a96e3b2fd7c8bb7c\r\n051b08ef35a6122bd9ff75609ccd50d84793e5502a9e428a57f2bf688d21d1e9 1b43bb893767f48bc134c1894f3390fd20dbb22d d2b60af1360508ca\r\nf96adc9e046ecc6f22d3ba9cfea47a4af75bcba369f454b7a9c8d7ca3d423ac4 cb85578a26dd90f536b9c97cf88ff93baba22107 4412dcf06cb428d7\r\nBH_A006\r\n1e725f1fe67d1a596c9677df69ef5b1b2c29903e84d7b08284f0a767aedcc097 c0292c55fca5f68f4f4831fb5d2a77a78c1f1a45 36a8ce6f27c251a\r\ne76567a61f905a2825262d5f653416ef88728371a0a2fe75ddc53aad100e6f46 e45a5d9b03cfbe7eb2e90181756fdf0dd690c00c 06af27c0f47837f\r\nf2ab7d78377fe1898eb6406d66668c9dbbe0836e9c97af08bc57da56a78272a1 87ae868159d572acbb376faf7fda6593058f8518 c241e8486a0674\r\n1a4cc1c66082f4bb10b917bc434ecc9e7e4f92877fd42e3fbe5e8a96154318f5 927f428e0de0391a6392943b3c79fda8363828d0 758eabd1b7b644\r\n1b0e8f31b513ad53db7ca6d8db35c37eb24eaddf859521b6913209af934808ce 9df3431e26b958f671b28d1c4d34dfa5c0c653bf 94759ce1618ffa9\r\nf42f8896183d298a6ecd2c3fa78393bf7e58bc33ab7994e35346a57cbe2e2521 f214cbda1dcdc75b3d355affef74354a104d5b29 5ea6d25bb95d86\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 39 of 43\n\nbd366f22fd0f1b5b5a041621f70b357287c45883e847bb8f31809d16ca46052f c213d8d98359c32e1b320b8ab0cf168e3f369441 8f088b92a9f6868\r\n77052236a7061f91ba6442568f6db1200169fe4afdf9c3c81750e0929dd4fb96 aa9b71858b893a131908b3236bb724226af6b1dc 02a7272416fefc6\r\n2bd9b56ddcccc0a9d33debd1c56b493bb60f8b4229f728b0c6c3bac0e556d080 0e2c294692cebcaecb5e2f3677d07f96a09ab610 c7f0ec11b70be64\r\n59fe1b5b641c140225ed12a8122da47716b9d841754f4604a2bdbb2a0dc765ad 7324dd736142db51c4d3887c30df810a45b46b08 32cb37c984fe0d0\r\ncb35899e21269b564ffdd4785961195af1779daf5ff3e64746e2d6368744ba2a 5ad5183ce68975a59d85d650e72b13a845be82e4 7950cf56e58e2be\r\nf97d1f7e3ed963654fb68803f2ac6cd79580abb8f86ab477c49aec76157bb184 cf1a335ffe672f19fa0160151c50eb9209b5e99b b66203f634e484\r\n74af7c238935e2fc11f97e122bbcf0b813c27f5a4a3b8aa47a574c24003df533 ffb8da41d8a92b4cbeaf4d85a4c2732b90d178c3 7428f82ed54e0d\r\n9cd487bcec62fb5192fbe654ca5c02750b846070b85016fc3d2071add8e04f39 b20c993e963a5540593120cfc1b596ba42aff649 46c4fd5ae4f5907\r\nb0a58c6c859833eb6fb1c7d8cb0c5875ab42be727996bcc20b17dd8ad0058ffa fcc66ea2198a03def308c53adda78d4a64ed22f7 823e689e34be36\r\n9843ceaca2b9173d3a1f9b24ba85180a40884dbf78dd7298b0c57008fa36e33d 6c8ab56853218f28ac11c16b050ad589ea14bafe 964be19e477b57\r\n9969fc3043ed2917b76b6dbae36bd2e0846b90e9d93df4fc4f490fdf153da435 e102a2ff536d2df93ec9c507e52c04bba773b550 fff3c03e6c455eab\r\n690f5bd392269d80061e8e90a9aedac4f9bb2e898db4211b76a6e27a1ed95462 5c1d4af865b4d514340d6a2dbb42523a142ab5d8 18ea3d4c9639a6\r\n7bd1016b5f3a5004166de5cf7f1846024684979de413417d83321c931c1b5929 cebabb80844c823df4539f4db29d7bca27e1f50a 89de9c0ce214d2\r\n1687af091d38108eeed634c0539b9639c6128aed9588a370f51a957bee534f39 53ab54c2c3ea3d6921fa2bf5fde69255dc41fbed ae755e20cd3a6f2\r\n16d2b4bb67147c0086c5716639e226fe1656da26f40bac86f7df970fa92a8460 1f89b71204ef85c00a6675f65acf4b834c0a58ce 68f52f72f9f3becd\r\nПримечание: файл с SHA-256 9843ceaca2b9173d3a1f9b24ba85180a40884dbf78dd7298b0c57008fa36e33d ранее был\r\nошибочно приведен в нашем отчете как экземпляр ShadowPad. В действительности он относится к семейству\r\nобразцов бэкдора BH_A006.\r\nDeed RAT\r\nff87ec66b89db551d6f4ce33ad150fae7286f58d465179acf2b8001d9ca9bcea 6c2e080407f03e507316c7bc340ecfe2fa1c248f 508b845dbb4d1821\r\n761557ecc63ec5fbc2e3573f61a860bd8967f04818be25893361c63409ab5af0 60b4af5c44d0ccdfb6003ca77d5ddda808219972 60c6573fe8bc4794\r\nShadowPad\r\n9324d7a72c436d8eb77f3df72b6f41aa4e1b85f08ef7583e26de75e17cad490c c82f168cdd311078bc1a9a748a0e304d26b10d04 e88442798b3881f\r\n06ce5271836a6a1ee40513b1de6991ccd87bc7ff640948f194e7c12bdf779fd9 3e38742d05ab64d1c484f157b345d339becef404 927af917daaee340\r\nd34b6306aeaaccea3b30dde377701c4a23b861b47f9bda777ca7dc0552f2754f 72881125929a2c445c6cd094fa13607b9cdea95c 15d973bcaef5f973\r\nd011130defd8b988ab78043b30a9f7e0cada5751064b3975a19f4de92d2c0025 a43edb2221919ac5d52bde498f604164b3c86118 08b419b754122d4\r\n459f386be186c0e23234f299f2607d0eb2745eb743e1422a95ec2dca645b0e21 9d05decdda370292012ded9c4e04d8d46c1d0de7 3b0a45da21a9244\r\nPoison Ivy\r\n672d1ec9f27870a9ed4983038e58e8577bacc735d5168d74bcff8d6ed9aa7947 f5ccdd6cc4aae67c822ddd4509f33672ca5335f4 4e87e5af554322a2c\r\n2e35a1599b58e76167f2235d46840cc973dc49a6f14c0c2a2e91310a2fe2c2dd d80b939d9d46cdff9cf20f6234186a1bf3b963c2 b1aadcb19d49519f4\r\nСетевые индикаторы\r\nMyKLoadClient\r\nmicroft.dynssl.com\r\nmicro.dns04.com\r\n207.148.121.88\r\n47.108.89.169\r\n120.78.127.189\r\n121.89.210.144\r\nZupdax\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 40 of 43\n\nns2.gamepoer7.com\r\nmail.playdr2.com\r\npop.playdr2.com\r\nnews.flashplayeractivex.info\r\nupdate.flashplayeractivex.info\r\nns9.mcafee-update.com\r\n154.211.161.161\r\n192.225.226.218\r\nDownloader.Climax.A\r\nbamo.ocry.com\r\n202.182.98.74\r\nDownloader.Climax.B\r\nruclient.dns04.com\r\nloge.otzo.com\r\nRtlShare\r\nasd.powergame.0077.x24hr.com\r\nw.asd3.as.amazon-corp.wikaba.com\r\n45.76.145.22\r\n141.164.35.87\r\n202.182.98.74\r\nPlugX\r\nmicroft.dynssl.com\r\napi.microft.dynssl.com\r\nmicro.dns04.com\r\nwww.0077.x24hr.com\r\njs.journal.itsaol.com\r\nfgjhkergvlimdfg2.wikaba.com\r\ngoon.oldvideo.longmusic.com\r\nas.amazon-corp.wikaba.com\r\nfreewula.strangled.net\r\nszuunet.strangled.net\r\nlib.hostareas.com\r\nweb.miscrosaft.com\r\neset.zzux.com\r\nelienceso.kozow.com\r\nlck.gigabitdate.com\r\nmiche.justdied.com\r\n45.77.16.91\r\n103.101.178.152\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 41 of 43\n\n123.1.151.64\r\n154.85.48.108\r\n154.213.21.207\r\n192.225.226.123\r\n192.225.226.217\r\nBH_A006\r\ncomein.journal.itsaol.com\r\nwww.omgod.org\r\nfindanswer123.tk\r\n45.76.145.22\r\n103.27.109.234\r\n108.160.134.113\r\nDeed RAT\r\nftp.microft.dynssl.com\r\nShadowPad\r\ntoogasd.www.oldvideo.longmusic.com\r\nwwa1we.wbew.amazon-corp.wikaba.com\r\nPoison Ivy\r\nshareddocs.microft.dynssl.com\r\nDDNS-домены третьего уровня\r\nmicroft.dynssl.com\r\nreportsearch.dynamic-dns.net\r\nmicro.dns04.com\r\nwerwesf.dynamic-dns.net\r\nfssprus.dns04.com\r\nloge.otzo.com\r\nalex.dnset.com\r\nruclient.dns04.com\r\nbamo.ocry.com\r\ntombstone.kozow.com\r\ntoon.mrbasic.com\r\nfgjhkergvlimdfg2.wikaba.com\r\nrt.ftp1.biz\r\napple-corp.changeip.org\r\namazon-corp.wikaba.com\r\n0077.x24hr.com\r\nstaticd.dynamic-dns.net\r\nsrv.xxxy.biz\r\nserviechelp.changeip.us\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 42 of 43\n\nmktoon.ftp1.biz\r\nnoon.dns04.com\r\nybcps4.freeddns.org\r\noldvideo.longmusic.com\r\nchdsjjkrazomg.dhcp.biz\r\nq34ewrd.youdontcare.com\r\njournal.itsaol.com\r\nSource: https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nhttps://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/\r\nPage 43 of 43",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"ETDA"
	],
	"references": [
		"https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-tools-and-connections/"
	],
	"report_names": [
		"space-pirates-tools-and-connections"
	],
	"threat_actors": [
		{
			"id": "ea844ee6-eb12-42c0-8426-11395fe81e6f",
			"created_at": "2022-10-25T15:50:23.300796Z",
			"updated_at": "2026-04-10T02:00:05.32389Z",
			"deleted_at": null,
			"main_name": "Night Dragon",
			"aliases": [
				"Night Dragon"
			],
			"source_name": "MITRE:Night Dragon",
			"tools": [
				"at",
				"gsecdump",
				"zwShell",
				"PsExec",
				"ASPXSpy",
				"gh0st RAT"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "b740943a-da51-4133-855b-df29822531ea",
			"created_at": "2022-10-25T15:50:23.604126Z",
			"updated_at": "2026-04-10T02:00:05.259593Z",
			"deleted_at": null,
			"main_name": "Equation",
			"aliases": [
				"Equation"
			],
			"source_name": "MITRE:Equation",
			"tools": null,
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "536ca49a-2666-4005-8a50-e552fc7e16ef",
			"created_at": "2023-11-21T02:00:07.375813Z",
			"updated_at": "2026-04-10T02:00:03.471967Z",
			"deleted_at": null,
			"main_name": "Webworm",
			"aliases": [
				"Space Pirates"
			],
			"source_name": "MISPGALAXY:Webworm",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "09a8f8fe-e907-47b4-8709-a97717dde3cc",
			"created_at": "2022-10-25T16:07:23.90252Z",
			"updated_at": "2026-04-10T02:00:04.783553Z",
			"deleted_at": null,
			"main_name": "Night Dragon",
			"aliases": [
				"G0014"
			],
			"source_name": "ETDA:Night Dragon",
			"tools": [
				"ASPXSpy",
				"ASPXTool",
				"Cain \u0026 Abel",
				"gsecdump",
				"zwShell"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "068b67c8-604c-4272-b808-350413fa9ee3",
			"created_at": "2022-10-25T16:07:23.975708Z",
			"updated_at": "2026-04-10T02:00:04.816253Z",
			"deleted_at": null,
			"main_name": "Operation NightScout",
			"aliases": [],
			"source_name": "ETDA:Operation NightScout",
			"tools": [],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "1aead86d-0c57-4e3b-b464-a69f6de20cde",
			"created_at": "2023-01-06T13:46:38.318176Z",
			"updated_at": "2026-04-10T02:00:02.925424Z",
			"deleted_at": null,
			"main_name": "DAGGER PANDA",
			"aliases": [
				"UAT-7290",
				"Red Foxtrot",
				"IceFog",
				"RedFoxtrot",
				"Red Wendigo",
				"PLA Unit 69010"
			],
			"source_name": "MISPGALAXY:DAGGER PANDA",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "93542ae8-73cb-482b-90a3-445a20663f15",
			"created_at": "2022-10-25T16:07:24.058412Z",
			"updated_at": "2026-04-10T02:00:04.853499Z",
			"deleted_at": null,
			"main_name": "PKPLUG",
			"aliases": [
				"Stately Taurus"
			],
			"source_name": "ETDA:PKPLUG",
			"tools": [],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "7d8ef10e-1d7b-49a0-ab6e-f1dae465a1a4",
			"created_at": "2023-01-06T13:46:38.595679Z",
			"updated_at": "2026-04-10T02:00:03.033762Z",
			"deleted_at": null,
			"main_name": "PLATINUM",
			"aliases": [
				"TwoForOne",
				"G0068",
				"ATK33"
			],
			"source_name": "MISPGALAXY:PLATINUM",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "b5550c4e-943a-45ea-bf67-875b989ee4c4",
			"created_at": "2022-10-25T16:07:23.675771Z",
			"updated_at": "2026-04-10T02:00:04.707782Z",
			"deleted_at": null,
			"main_name": "Gelsemium",
			"aliases": [
				"Operation NightScout",
				"Operation TooHash"
			],
			"source_name": "ETDA:Gelsemium",
			"tools": [
				"ASPXSpy",
				"ASPXTool",
				"Agentemis",
				"BadPotato",
				"CHINACHOPPER",
				"China Chopper",
				"Chrommme",
				"Cobalt Strike",
				"CobaltStrike",
				"FireWood",
				"Gelsemine",
				"Gelsenicine",
				"Gelsevirine",
				"JuicyPotato",
				"OwlProxy",
				"Owowa",
				"SAMRID",
				"SessionManager",
				"SinoChopper",
				"SpoolFool",
				"SweetPotato",
				"WolfsBane",
				"cobeacon",
				"reGeorg"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "2f07a03f-eb1f-47c8-a8e9-a1a00f2ec253",
			"created_at": "2022-10-25T16:07:24.277669Z",
			"updated_at": "2026-04-10T02:00:04.919609Z",
			"deleted_at": null,
			"main_name": "TA428",
			"aliases": [
				"Operation LagTime IT",
				"Operation StealthyTrident",
				"ThunderCats"
			],
			"source_name": "ETDA:TA428",
			"tools": [
				"8.t Dropper",
				"8.t RTF exploit builder",
				"8t_dropper",
				"Agent.dhwf",
				"Albaniiutas",
				"BlueTraveller",
				"Chymine",
				"Cotx RAT",
				"CoughingDown",
				"Darkmoon",
				"Destroy RAT",
				"DestroyRAT",
				"Gen:Trojan.Heur.PT",
				"Kaba",
				"Korplug",
				"LuckyBack",
				"PhantomNet",
				"PlugX",
				"Poison Ivy",
				"RedDelta",
				"RoyalRoad",
				"SManager",
				"SPIVY",
				"Sogu",
				"TIGERPLUG",
				"TManger",
				"TVT",
				"Thoper",
				"Xamtrav",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "e61c46f7-88a1-421a-9fed-0cfe2eeb820a",
			"created_at": "2022-10-25T16:07:24.061767Z",
			"updated_at": "2026-04-10T02:00:04.854503Z",
			"deleted_at": null,
			"main_name": "Platinum",
			"aliases": [
				"ATK 33",
				"G0068",
				"Operation EasternRoppels",
				"TwoForOne"
			],
			"source_name": "ETDA:Platinum",
			"tools": [
				"AMTsol",
				"Adupib",
				"Adupihan",
				"Dipsind",
				"DvDupdate.dll",
				"JPIN",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"RedPepper",
				"RedSalt",
				"Titanium",
				"adbupd",
				"psinstrc.ps1"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "e3492534-85a6-4c87-a754-5ae4a56d7c8c",
			"created_at": "2022-10-25T15:50:23.819113Z",
			"updated_at": "2026-04-10T02:00:05.354598Z",
			"deleted_at": null,
			"main_name": "Threat Group-3390",
			"aliases": [
				"Threat Group-3390",
				"Earth Smilodon",
				"TG-3390",
				"Emissary Panda",
				"BRONZE UNION",
				"APT27",
				"Iron Tiger",
				"LuckyMouse",
				"Linen Typhoon"
			],
			"source_name": "MITRE:Threat Group-3390",
			"tools": [
				"Systeminfo",
				"gsecdump",
				"PlugX",
				"ASPXSpy",
				"Cobalt Strike",
				"Mimikatz",
				"Impacket",
				"gh0st RAT",
				"certutil",
				"China Chopper",
				"HTTPBrowser",
				"Tasklist",
				"netstat",
				"SysUpdate",
				"HyperBro",
				"ZxShell",
				"RCSession",
				"ipconfig",
				"Clambling",
				"pwdump",
				"NBTscan",
				"Pandora",
				"Windows Credential Editor"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "926dcfeb-19dd-4786-b601-3c0c4c477b43",
			"created_at": "2023-01-06T13:46:38.787762Z",
			"updated_at": "2026-04-10T02:00:03.10053Z",
			"deleted_at": null,
			"main_name": "HenBox",
			"aliases": [],
			"source_name": "MISPGALAXY:HenBox",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "4ae78ca3-8bc8-4d67-9df1-a85df250a8a0",
			"created_at": "2024-10-08T02:00:04.469211Z",
			"updated_at": "2026-04-10T02:00:03.726781Z",
			"deleted_at": null,
			"main_name": "TaskMasters",
			"aliases": [
				"BlueTraveller"
			],
			"source_name": "MISPGALAXY:TaskMasters",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "020794ec-7315-47de-818c-2032c362fd15",
			"created_at": "2023-01-06T13:46:38.306576Z",
			"updated_at": "2026-04-10T02:00:02.920647Z",
			"deleted_at": null,
			"main_name": "Night Dragon",
			"aliases": [
				"G0014"
			],
			"source_name": "MISPGALAXY:Night Dragon",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "b69037ec-2605-4de4-bb32-a20d780a8406",
			"created_at": "2023-01-06T13:46:38.790766Z",
			"updated_at": "2026-04-10T02:00:03.101635Z",
			"deleted_at": null,
			"main_name": "MUSTANG PANDA",
			"aliases": [
				"Stately Taurus",
				"LuminousMoth",
				"TANTALUM",
				"Twill Typhoon",
				"TEMP.HEX",
				"Earth Preta",
				"Polaris",
				"BRONZE PRESIDENT",
				"HoneyMyte",
				"Red Lich",
				"TA416"
			],
			"source_name": "MISPGALAXY:MUSTANG PANDA",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "4d5f939b-aea9-4a0e-8bff-003079a261ea",
			"created_at": "2023-01-06T13:46:39.04841Z",
			"updated_at": "2026-04-10T02:00:03.196806Z",
			"deleted_at": null,
			"main_name": "APT41",
			"aliases": [
				"WICKED PANDA",
				"BRONZE EXPORT",
				"Brass Typhoon",
				"TG-2633",
				"Leopard Typhoon",
				"G0096",
				"Grayfly",
				"BARIUM",
				"BRONZE ATLAS",
				"Red Kelpie",
				"G0044",
				"Earth Baku",
				"TA415",
				"WICKED SPIDER",
				"HOODOO",
				"Winnti",
				"Double Dragon"
			],
			"source_name": "MISPGALAXY:APT41",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "e698860d-57e8-4780-b7c3-41e5a8314ec0",
			"created_at": "2022-10-25T15:50:23.287929Z",
			"updated_at": "2026-04-10T02:00:05.329769Z",
			"deleted_at": null,
			"main_name": "APT41",
			"aliases": [
				"APT41",
				"Wicked Panda",
				"Brass Typhoon",
				"BARIUM"
			],
			"source_name": "MITRE:APT41",
			"tools": [
				"ASPXSpy",
				"BITSAdmin",
				"PlugX",
				"Impacket",
				"gh0st RAT",
				"netstat",
				"PowerSploit",
				"ZxShell",
				"KEYPLUG",
				"LightSpy",
				"ipconfig",
				"sqlmap",
				"China Chopper",
				"ShadowPad",
				"MESSAGETAP",
				"Mimikatz",
				"certutil",
				"njRAT",
				"Cobalt Strike",
				"pwdump",
				"BLACKCOFFEE",
				"MOPSLED",
				"ROCKBOOT",
				"dsquery",
				"Winnti for Linux",
				"DUSTTRAP",
				"Derusbi",
				"ftp"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "20b5fa2f-2ef1-4e69-8275-25927a762f72",
			"created_at": "2025-08-07T02:03:24.573647Z",
			"updated_at": "2026-04-10T02:00:03.765721Z",
			"deleted_at": null,
			"main_name": "BRONZE DUDLEY",
			"aliases": [
				"TA428 ",
				"Temp.Hex ",
				"Vicious Panda "
			],
			"source_name": "Secureworks:BRONZE DUDLEY",
			"tools": [
				"NCCTrojan",
				"PhantomNet",
				"PoisonIvy",
				"Royal Road"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "2a24d664-6a72-4b4c-9f54-1553b64c453c",
			"created_at": "2025-08-07T02:03:24.553048Z",
			"updated_at": "2026-04-10T02:00:03.787296Z",
			"deleted_at": null,
			"main_name": "BRONZE ATLAS",
			"aliases": [
				"APT41 ",
				"BARIUM ",
				"Blackfly ",
				"Brass Typhoon",
				"CTG-2633",
				"Earth Baku ",
				"GREF",
				"Group 72 ",
				"Red Kelpie ",
				"TA415 ",
				"TG-2633 ",
				"Wicked Panda ",
				"Winnti"
			],
			"source_name": "Secureworks:BRONZE ATLAS",
			"tools": [
				"Acehash",
				"CCleaner v5.33 backdoor",
				"ChinaChopper",
				"Cobalt Strike",
				"DUSTPAN",
				"Dicey MSDN",
				"Dodgebox",
				"ForkPlayground",
				"HUC Proxy Malware (Htran)"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "6daadf00-952c-408a-89be-aa490d891743",
			"created_at": "2025-08-07T02:03:24.654882Z",
			"updated_at": "2026-04-10T02:00:03.645565Z",
			"deleted_at": null,
			"main_name": "BRONZE PRESIDENT",
			"aliases": [
				"Earth Preta ",
				"HoneyMyte ",
				"Mustang Panda ",
				"Red Delta ",
				"Red Lich ",
				"Stately Taurus ",
				"TA416 ",
				"Temp.Hex ",
				"Twill Typhoon "
			],
			"source_name": "Secureworks:BRONZE PRESIDENT",
			"tools": [
				"BlueShell",
				"China Chopper",
				"Claimloader",
				"Cobalt Strike",
				"HIUPAN",
				"ORat",
				"PTSOCKET",
				"PUBLOAD",
				"PlugX",
				"RCSession",
				"TONESHELL",
				"TinyNote"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "c63ab035-f9f2-4723-959b-97a7b98b5942",
			"created_at": "2023-01-06T13:46:38.298354Z",
			"updated_at": "2026-04-10T02:00:02.917311Z",
			"deleted_at": null,
			"main_name": "APT27",
			"aliases": [
				"BRONZE UNION",
				"Circle Typhoon",
				"Linen Typhoon",
				"TEMP.Hippo",
				"Budworm",
				"Lucky Mouse",
				"G0027",
				"GreedyTaotie",
				"Red Phoenix",
				"Iron Tiger",
				"Iron Taurus",
				"Earth Smilodon",
				"TG-3390",
				"EMISSARY PANDA",
				"Group 35",
				"ZipToken"
			],
			"source_name": "MISPGALAXY:APT27",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "bbb1ee4e-bbe9-44de-8f46-8e7fec09f695",
			"created_at": "2022-10-25T16:07:24.120424Z",
			"updated_at": "2026-04-10T02:00:04.871598Z",
			"deleted_at": null,
			"main_name": "RedFoxtrot",
			"aliases": [
				"Moshen Dragon",
				"Nomad Panda",
				"TEMP.Trident"
			],
			"source_name": "ETDA:RedFoxtrot",
			"tools": [
				"8.t Dropper",
				"8.t RTF exploit builder",
				"8t_dropper",
				"Agent.dhwf",
				"Chymine",
				"Darkmoon",
				"Destroy RAT",
				"DestroyRAT",
				"Fucobha",
				"GUNTERS",
				"Gen:Trojan.Heur.PT",
				"Icefog",
				"Impacket",
				"Kaba",
				"Korplug",
				"PCShare",
				"POISONPLUG.SHADOW",
				"PlugX",
				"Poison Ivy",
				"RedDelta",
				"RoyalRoad",
				"SPIVY",
				"ShadowPad Winnti",
				"Sogu",
				"TIGERPLUG",
				"TVT",
				"Thoper",
				"XShellGhost",
				"Xamtrav",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "a4aca3ca-9e04-42d1-b037-f7fb3fbab0b1",
			"created_at": "2023-01-06T13:46:39.042499Z",
			"updated_at": "2026-04-10T02:00:03.194713Z",
			"deleted_at": null,
			"main_name": "TA428",
			"aliases": [
				"BRONZE DUDLEY",
				"Colourful Panda"
			],
			"source_name": "MISPGALAXY:TA428",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "8e385d36-06a2-4294-b3d3-01fe8e9d95f4",
			"created_at": "2022-10-25T16:07:24.219051Z",
			"updated_at": "2026-04-10T02:00:04.902017Z",
			"deleted_at": null,
			"main_name": "Space Pirates",
			"aliases": [
				"Erudite Mogwai",
				"Webworm"
			],
			"source_name": "ETDA:Space Pirates",
			"tools": [
				"9002 RAT",
				"Agent.dhwf",
				"AngryRebel",
				"BH_A006",
				"Chymine",
				"Darkmoon",
				"Deed RAT",
				"Destroy RAT",
				"DestroyRAT",
				"Farfli",
				"Gen:Trojan.Heur.PT",
				"Gh0st RAT",
				"Ghost RAT",
				"HOMEUNIX",
				"HidraQ",
				"Homux",
				"Hydraq",
				"Kaba",
				"Korplug",
				"McRAT",
				"MdmBot",
				"Moudour",
				"MyKLoadClient",
				"Mydoor",
				"PCRat",
				"PCShare",
				"POISONPLUG.SHADOW",
				"PlugX",
				"Poison Ivy",
				"RedDelta",
				"Roarur",
				"SPIVY",
				"ShadowPad Winnti",
				"SnappyBee",
				"Sogu",
				"TIGERPLUG",
				"TVT",
				"Thoper",
				"Trochilus RAT",
				"XShellGhost",
				"Xamtrav",
				"Zupdax",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "b399b5f1-42d3-4b53-8c73-d448fce6ab43",
			"created_at": "2025-08-07T02:03:24.68371Z",
			"updated_at": "2026-04-10T02:00:03.64323Z",
			"deleted_at": null,
			"main_name": "BRONZE UNION",
			"aliases": [
				"APT27 ",
				"Bowser",
				"Budworm ",
				"Circle Typhoon ",
				"Emissary Panda ",
				"Group35",
				"Iron Tiger ",
				"Linen Typhoon ",
				"Lucky Mouse ",
				"TG-3390 ",
				"Temp.Hippo "
			],
			"source_name": "Secureworks:BRONZE UNION",
			"tools": [
				"AbcShell",
				"China Chopper",
				"EAGERBEE",
				"Gh0st RAT",
				"OwaAuth",
				"PhantomNet",
				"PoisonIvy",
				"Sysupdate",
				"Wonknu",
				"Wrapikatz",
				"ZxShell",
				"reGeorg"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "9baa7519-772a-4862-b412-6f0463691b89",
			"created_at": "2022-10-25T15:50:23.354429Z",
			"updated_at": "2026-04-10T02:00:05.310361Z",
			"deleted_at": null,
			"main_name": "Mustang Panda",
			"aliases": [
				"Mustang Panda",
				"TA416",
				"RedDelta",
				"BRONZE PRESIDENT",
				"STATELY TAURUS",
				"FIREANT",
				"CAMARO DRAGON",
				"EARTH PRETA",
				"HIVE0154",
				"TWILL TYPHOON",
				"TANTALUM",
				"LUMINOUS MOTH",
				"UNC6384",
				"TEMP.Hex",
				"Red Lich"
			],
			"source_name": "MITRE:Mustang Panda",
			"tools": [
				"CANONSTAGER",
				"STATICPLUGIN",
				"ShadowPad",
				"TONESHELL",
				"Cobalt Strike",
				"HIUPAN",
				"Impacket",
				"SplatCloak",
				"PAKLOG",
				"Wevtutil",
				"AdFind",
				"CLAIMLOADER",
				"Mimikatz",
				"PUBLOAD",
				"StarProxy",
				"CorKLOG",
				"RCSession",
				"NBTscan",
				"PoisonIvy",
				"SplatDropper",
				"China Chopper",
				"PlugX"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "33f527a5-a5da-496a-a48c-7807cc858c3e",
			"created_at": "2022-10-25T15:50:23.803657Z",
			"updated_at": "2026-04-10T02:00:05.333523Z",
			"deleted_at": null,
			"main_name": "PLATINUM",
			"aliases": [
				"PLATINUM"
			],
			"source_name": "MITRE:PLATINUM",
			"tools": [
				"JPIN",
				"Dipsind",
				"adbupd"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "5c13338b-eaed-429a-9437-f5015aa98276",
			"created_at": "2022-10-25T16:07:23.582715Z",
			"updated_at": "2026-04-10T02:00:04.675765Z",
			"deleted_at": null,
			"main_name": "Emissary Panda",
			"aliases": [
				"APT 27",
				"ATK 15",
				"Bronze Union",
				"Budworm",
				"Circle Typhoon",
				"Earth Smilodon",
				"Emissary Panda",
				"G0027",
				"Group 35",
				"Iron Taurus",
				"Iron Tiger",
				"Linen Typhoon",
				"LuckyMouse",
				"Operation DRBControl",
				"Operation Iron Tiger",
				"Operation PZChao",
				"Operation SpoiledLegacy",
				"Operation StealthyTrident",
				"Red Phoenix",
				"TEMP.Hippo",
				"TG-3390",
				"ZipToken"
			],
			"source_name": "ETDA:Emissary Panda",
			"tools": [
				"ASPXSpy",
				"ASPXTool",
				"Agent.dhwf",
				"AngryRebel",
				"Antak",
				"CHINACHOPPER",
				"China Chopper",
				"Destroy RAT",
				"DestroyRAT",
				"FOCUSFJORD",
				"Farfli",
				"Gh0st RAT",
				"Ghost RAT",
				"HTTPBrowser",
				"HTran",
				"HUC Packet Transmit Tool",
				"HighShell",
				"HttpBrowser RAT",
				"HttpDump",
				"HyperBro",
				"HyperSSL",
				"HyperShell",
				"Kaba",
				"Korplug",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"Mimikatz",
				"Moudour",
				"Mydoor",
				"Nishang",
				"OwaAuth",
				"PCRat",
				"PlugX",
				"ProcDump",
				"PsExec",
				"RedDelta",
				"SEASHARPEE",
				"Sensocode",
				"SinoChopper",
				"Sogu",
				"SysUpdate",
				"TIGERPLUG",
				"TVT",
				"Thoper",
				"Token Control",
				"TokenControl",
				"TwoFace",
				"WCE",
				"Windows Credential Editor",
				"Windows Credentials Editor",
				"Xamtrav",
				"ZXShell",
				"gsecdump",
				"luckyowa"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "2ee03999-5432-4a65-a850-c543b4fefc3d",
			"created_at": "2022-10-25T16:07:23.882813Z",
			"updated_at": "2026-04-10T02:00:04.776949Z",
			"deleted_at": null,
			"main_name": "Mustang Panda",
			"aliases": [
				"Bronze President",
				"Camaro Dragon",
				"Earth Preta",
				"G0129",
				"Hive0154",
				"HoneyMyte",
				"Mustang Panda",
				"Operation SMUGX",
				"Operation SmugX",
				"PKPLUG",
				"Red Lich",
				"Stately Taurus",
				"TEMP.Hex",
				"Twill Typhoon"
			],
			"source_name": "ETDA:Mustang Panda",
			"tools": [
				"9002 RAT",
				"AdFind",
				"Agent.dhwf",
				"Agentemis",
				"CHINACHOPPER",
				"China Chopper",
				"Chymine",
				"ClaimLoader",
				"Cobalt Strike",
				"CobaltStrike",
				"DCSync",
				"DOPLUGS",
				"Darkmoon",
				"Destroy RAT",
				"DestroyRAT",
				"Farseer",
				"Gen:Trojan.Heur.PT",
				"HOMEUNIX",
				"Hdump",
				"HenBox",
				"HidraQ",
				"Hodur",
				"Homux",
				"HopperTick",
				"Hydraq",
				"Impacket",
				"Kaba",
				"Korplug",
				"LadonGo",
				"MQsTTang",
				"McRAT",
				"MdmBot",
				"Mimikatz",
				"NBTscan",
				"NetSess",
				"Netview",
				"Orat",
				"POISONPLUG.SHADOW",
				"PUBLOAD",
				"PVE Find AD Users",
				"PlugX",
				"Poison Ivy",
				"PowerView",
				"QMAGENT",
				"RCSession",
				"RedDelta",
				"Roarur",
				"SPIVY",
				"ShadowPad Winnti",
				"SinoChopper",
				"Sogu",
				"TIGERPLUG",
				"TONEINS",
				"TONESHELL",
				"TVT",
				"TeamViewer",
				"Thoper",
				"TinyNote",
				"WispRider",
				"WmiExec",
				"XShellGhost",
				"Xamtrav",
				"Zupdax",
				"cobeacon",
				"nbtscan",
				"nmap",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "236429ce-6355-43f6-9b58-e6803a1df3f4",
			"created_at": "2026-03-16T02:02:50.60344Z",
			"updated_at": "2026-04-10T02:00:03.641587Z",
			"deleted_at": null,
			"main_name": "Bronze Union",
			"aliases": [
				"Circle Typhoon ",
				"Emissary Panda "
			],
			"source_name": "Secureworks:Bronze Union",
			"tools": [
				"China Chopper",
				"OwaAuth",
				"Sysupdate"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775434487,
	"ts_updated_at": 1775792241,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/2a4d8e3c95b83ec8a144bbd4dd83203276b21a2c.pdf",
		"text": "https://archive.orkl.eu/2a4d8e3c95b83ec8a144bbd4dd83203276b21a2c.txt",
		"img": "https://archive.orkl.eu/2a4d8e3c95b83ec8a144bbd4dd83203276b21a2c.jpg"
	}
}