Колесный экскаватор ЕК-18 – российская машина для работ на отечественных стройках, в карьерах, везде, где необходим производительный, надежный, ремонтопригодный агрегат, не боящийся низких температур, жары, тяжелых условий работы.

На видео возможности экскаватора ТВЭКС ЕК-18:

ТВЭКС ЕК 18-45 – Перегружатели (EK 18-45 – TVEHKS EK 18-45 – TVEKS ЕК-18-45 – TVEX ЕК-18-45 – ЕК 18-45 – ТВЕКС ЕК-18-45 – ТВЕРСКОИ ЭЗ ЕК-18-45 – ТВЕРСКОИ ЭКСКАВАТОР ЕК-18-45 – ТВЕРСКОЙ ЭЗ ЕК-18-45 – ТВЕРСКОЙ ЭКСКАВАТОР ЕК-18-45 – ТВЭКС ЕК 18-45 – ТВЭКС ЕК-18-45 – ТЭЗ ЕК-18-45 – Экскаватор колесный ЕК-18-45 – Экскаватор колесный ТВЭКС ЕК-18-45) – Технические характеристики ТВЭКС ЕК 18-45 – Габаритные размеры ТВЭКС ЕК 18-45 – Двигатель ТВЭКС ЕК 18-45

Экскаватор-перегружатель металлолома, ТВЭКС, LIEBHERR, FUCHS цена 75 000 руб

Описание

Продаю перегружатели металлолома: 1)”FUCHS” – 713 , год выпуска 1993 , цена 75 000 EURO, 2)”LIEBHERR”-A-902,год выпуска 1995,цена 95 000 EURO, 3)”LIEBHERR”-A-942,год выпуска 1987,цена 75 000 EURO, 4)”ТВЭКС-ЕК-18-44,год выпуска 2007,цена 80 000 EURO. Вся техника находится в Украине,в идеальном рабочем состоянии,с полным пакетом документов.

Продаю перегружатели металлолома: 1)”FUCHS” – 713 , год выпуска 1993 , цена 75 000 EURO, 2)”LIEBHERR”-A-902,год выпуска 1995,цена 95 000 EURO, 3)”LIEBHERR”-A-942,год выпуска 1987,цена 75 000 EURO, 4)”ТВЭКС-ЕК-18-44,год выпуска 2007,цена 80 000 EURO. Вся техника находится в Украине,в идеальном рабочем состоянии,с полным пакетом документов.

Лицензии и сертификаты

Доставка и оплата

Не указана

ЭКСКАВАТОР-ПЕРЕГРУЖАТЕЛЬ | Авто & Мото

Представляя собой полноценный экскаватор, она при этом не используется для землеройных работ и решает совсем другие задачи — такие как погрузка, перегрузка и сортировка негабаритных и сыпучих грузов.

Хотя выполнять землеройные работы с помощью экскаватора-перегружателя все-таки можно, если оснастить его стандартным ковшом, конструктивные особенности машины — подъемная кабина, удлиненная стрела и иногда рукоять — не очень к этому располагают. Само название этой техники точно указывает на то, для чего она предназначена, — прежде всего это перегрузка, штабелирование и сортировка разного рода грузов: металлолома, лесоматериалов, твердых бытовых отходов и ряда других. По своей сути перегружатель представляет собой полноразмерный экскаватор с поворотной верхней частью, характеристики которого идеально подходят для перемещения разного рода негабарита. При этом он может быть как самоходным — колесным, гусеничным или установленным на рельсы, — так и стационарным, помещенным на специальный пьедестал; последняя конфигурация часто используется в портах, где эта техника грузит или, наоборот, разгружает баржи, сухогрузы и другие суда.

В горнодобывающей промышленности роль перегружателей чаще всего выполняют карьерные экскаваторы с ковшами большой емкости, которые, в зависимости от производственной ситуации, могут выполнять как землеройные, так и погрузочные работы. О достоинствах и недостатках экскаватора как машины для погрузки породы в карьерные самосвалы мы подробно говорили в одном из предыдущих номеров, в статье о карьерных погрузчика. Поэтому здесь упомянем лишь, что их эксплуатация в качестве погрузочной техники обходится дороже, чем использование карьерных погрузчиков, способных совмещать транспортировку породы и непосредственно погрузку.

В агропромышленном комплексе экскаваторы-перегружатели используются с большим набором специализированных сельскохозяйственных захватов, способных эффективно справляться с перегрузкой урожая, нефасованных удобрений и других сыпучих субстанций. Непосредственно в сельском хозяйстве считаются более предпочтительными гусеничные модификации этих машин: они оказывают меньшее давление на грунт — особенно если оснащены специальными резиновыми гусеницами, не повреждающими почву, — и при этом гораздо устойчивее и способны работать на неровных поверхностях. К недостаткам гусеничных машин этого типа нужно отнести невозможность их самостоятельного перемещения по дорогам общего пользования; по этой причине для перевозки экскаваторов-погрузчиков приходится использовать автопоезда, состоящие из седельного тягача и низкорамного полуприцепа.

Пожалуй, наиболее широкое распространение экскаваторы-перегружатели получили в металлургической промышленности. Здесь они применяются прежде всего для сортировки и погрузки металлолома. Как правило, модели машин, используемые для этих целей, имеют высокую степень защищенности и оборудованы грейферным или магнитным захватом и удлиненной, как у экскаватора-демолятора, стрелой, позволяющей при необходимости без труда выполнять загрузку полувагонов. Для улучшения обзора с рабочего места оператора кабина последнего имеет функцию подъема. Учитывая специфику материала, с которым ведется работа, модели экскаваторов-перегружателей, созданных для перегрузки металлолома, имеют высокую степень безопасности. Например, у популярных моделей экскаваторов-перегружателей производства компании UMG E190WH и E230WH безопасность регулируется тормозными клапанами с антишоковыми и аварийными функциями, а также клапаном ограничения грузоподъемности и гидрозамыканием. Каждая из упомянутых моделей имеет высокую — до восьми тонн металлолома в час — производительность, которая обеспечивается гидравлической системой, устроенной по принципу LUDV, обеспечивающему высокую работоспособность перегружателя и возможности бесперебойного рабочего цикла.

Также широко экскаваторы-перегружатели применяются в лесном деле. Гусеничные модели этих машин в силу своих конструктивных особенностей чаще используются для погрузки хлыстов и сортиментов на месте их заготовки. У них также имеются подъемная кабина и удлиненная стрела — однако присутствует и целый ряд специфичных навесных устройств (захватов), предназначенных для работы с разными группами лесоматериалов. Колесные и стационарные перегружатели чаще можно встретить на перевалочных пунктах и сортировочных железнодорожных станциях — на последних они сортируют и грузят лесоматериалы в специальные вагоны-лесовозы.

В портах можно встретить экскаваторы-перегружатели с самым разным типом ходовой части: рельсовое, гусеничное или колесное шасси, а также в стационарном исполнении (например, береговые перегружатели на бетонном фундаменте) и даже на плавучем понтонном основании. Все они так или иначе применяются для перевалки металлолома, сыпучих и негабаритных штучных грузов с берега или транспорта (автомобильного или железнодорожного) на суда или же наоборот.

Кроме вышеперечисленных сфер человеческой жизнедеятельности экскаваторы-перегружатели также используются во многих других отраслях промышленности для решения текущих производственных задач. Отсюда их другое название: промышленные перегружатели. Способные брать груз даже с глубины нескольких метров ниже уровня земли и выгрузить его на высоте, недоступной для фронтальных погрузчиков, эти машины, имеющие стрелу и рукоять увеличенной длины, с легкостью выполнят перегрузку материалов через заборы и другие препятствия.

Самым популярным типом этой техники являются колесные перегружатели. Главным образом — благодаря своей высокой мобильности и способности самостоятельно перемещаться по дорогам общего пользования. Для устойчивости во время работы они оснащены специальными опорами, а для перемещения в сложных дорожных условиях — усиленным пневмоколесным шасси. На рынке представлен большой выбор техники этого подвида экскаваторов-перегружателей, в том числе — и российского производства. Например, модель ТВЭКС ЕК-18-45, созданная на заводе «Тверской экскаватор» как специальная версия популярного колесного экскаватора ТВЭКС ЕК-18. Оборудованный пятичелюстным грейфером с полноповоротным ротатором, этот экскаватор-перегружатель способен работать с грузами, находящимися в радиусе до 11,5 метра, а также брать их с восьмиметровой высоты или с почти четырехметровой глубины. Для работы с грузами, находящимися выше или ниже уровня самого перегружателя, предусмотрен подъем кабины на высоту до двух метров. Если выключить двигатель, кабина плавно опустится вниз под действием собственного веса. Габариты машины — 9300х2500х3250 миллиметров, эксплуатационная масса — 22 тонны. По дорогам общего пользования экскаватор-перегружатель ТВЭКС ЕК-18-45 способен передвигаться со скоростью до 15 километров в час.

Большой выбор экскаваторов-перегружателей — как на колесном, так и на гусеничном ходу — предлагает немецкий производитель Sennebogen. Одна из моделей, оснащенных гусеничными движителями, — Sennebogen 830 особенно часто используется для работы на площадках с металлоломом, в портах, а также в качестве несущей машины для насоса и гибких трубопроводов. На экскаватор-перегружатель установлен дизельный двигатель мощностью 164 киловатта. Комфортабельная кабина Maxcab позволяет поднимать рабочее место оператора на высоту до 2,7 метра от его стандартного положения. Кабина имеет раздвижную дверь, перед ней расположен удобный помост, а вокруг, на поворотной платформе — перила. Экскаватор-перегружатель весом 43 тонны имеет вылет стрелы 17 метров. По желанию заказчика Sennebogen 830 может быть оснащен одним из пяти вариантов рукояти и стрелы. Кстати, вместо гусеничного шасси машина может быть установлена и на колесное. В качестве навесного оборудования для этой модели предусмотрены двух-, четырех- и пятичелюстной грейферы, магнитный диск, а также гидроножницы для скрапа и землеройный ковш. Топливный бак на 500 литров позволяет машине долгое время оставаться в работе без необходимости дозаправки.

Большой выбор экскаваторов-перегружателей — стационарных, гусеничных, колесных — выпускается под брендом Terex Fuchs. Стационарные перегружатели серии AHL работают от электродвигателя и могут успешно использоваться для работы в закрытых помещениях, например на металлургических комбинатах. Одна из самых мощных моделей в этой серии — перегружатель Fuchs AHL 860 D. Машина весом 44,5 тонны оборудована электродвигателем мощностью 160 киловатт. Для модели предусмотрена возможность подъема кабины оператора на высоту до 2,2 метра от стандартного положения, таким образом, максимальная высота, на которой может располагаться рабочее место, составляет 6,1 метра от уровня земли, что обеспечивает отличный обзор рабочей зоны. Благодаря стреле длиной 18 метров модель имеет впечатляющий рабочий радиус: до 36 метров. В целях устойчивости для Fuchs AHL 860 D предусмотрены четыре мощных опорных лапы. Нижняя тележка перегружателя не имеет ходового привода, гидравлики и осей — вместо него она оснащена бетонным балластом. Несмотря на то, что модель является стационарной, при необходимости ее можно переместить с места на место в рабочем положении без особых трудозатрат. Говоря о производительности Fuchs AHL 860 D заметим, что кузов полноразмерного грузовика она заполняет грузом — будь то металлолом или твердые бытовые отходы — в течение пятнадцати минут. Для освещения рабочей площадки модель в качестве опции может оснащаться шестью ксеноновыми фарами, располагающимися на стреле, ковше и кабине; для работы в условиях повышенной запыленности машина может быть доукомплектована реверсивным вентилятором радиатора охлаждения гидравлического масла.

Как минимум упоминания заслуживает техника на комбинированном ходу, используемая, в частности, в железнодорожной отрасли. Колесные экскаваторы-перегружатели, благодаря дополнительным движителям устанавливаемые на рельсы, оборудуются грейферным ковшом или другими устройствами, позволяющими выполнять погрузочно-разгрузочные работы в непосредственной близости от железнодорожного полотна или прямо на нем. В частности, перегружатели такого рода выпускает французская компания GEISMAR, специализирующаяся на производстве путевых машин. Экскаватор-перегружатель этой марки имеет универсальную стрелу длиной 7,2 метра с грейферным захватом на конце и дизельный силовой агрегат с воздушным охлаждением мощностью от 163 до 230 киловатт. Машина оборудована гидростатической трансмиссией на каждое из четырех ведущих колес. При необходимости перегружатель оперативно устанавливается на железнодорожные пути или снимается с них. По путям эта двадцатитонная машина передвигается со скоростью до 30 километров в час, на колесах по автодороге — со скоростью до 25 километров в час.

В завершение темы, посвященной экскаваторам-перегружателям, стоит отметить, что в российских специализированных средствах массовой информации существует некоторая терминологическая путаница, связанная с названием типа интересующих нас машин. Возникла она из-за того, что отечественные дилеры этой техники именуют ее по-разному: то грейферными погрузчиками, то просто перегружателями — хотя по наличию полноповоротной верхней части и по типу погрузочно-разгрузочного устройства она несомненно относится к классу экскаваторов. Модификацию которого, собственно говоря, расширенную или же, напротив, усеченную, каждый из экскаваторов-перегружателей собой и представляет.

Обновленный Sundown EK выпускает Smoke Loader, Kronos banker

В этом посте мы кратко рассмотрим некоторые изменения, внесенные в эксплойт-кит Sundown. Целевая страница была изменена и использует различные методы запутывания. Sundown используется в некоторых небольших кампаниях, и в этом конкретном случае был удален загрузчик, а затем банковский троян.

Пока мы следим за наборами эксплойтов, сегодня мы рассмотрим некоторые изменения в Sundown EK. Этот набор эксплойтов далеко не так популярен, как RIG EK, но по-прежнему представляет угрозу благодаря эксплойтам для Internet Explorer, Flash и Silverlight.

В начале октября мы обнаружили новый формат целевой страницы для Sundown EK, который следует за некоторыми предыдущими новыми шаблонами URL. Заметными изменениями являются дополнительная запутанность и (аб)использование пробелов на целевой странице HTML.

На этот раз полезная нагрузка, сброшенная в этом случае, является не программой-вымогателем, а двухэтапным заражением, начинающимся с загрузчика, который извлекает банковский троян.

До

После

Вот некоторые моменты

• Вызов эксплойта Silverlight:

• Запуск полезной нагрузки (через wscript):

Malwarebytes Anti-Exploit блокирует различные эксплойты, продвигаемые Sundown EK:

Обзор полезной нагрузки

Первоначальная полезная нагрузка, которую мы зафиксировали в этом конкретном новом экземпляре Sundown EK, — это Smoke Loader, загрузчик, целью которого является получение дополнительных вредоносных программ.Не так давно мы заметили, что Smoke Loader распространяется компанией RIG EK.

После выполнения Smoke Loader загрузит полезную нагрузку второго этапа с https://dl.dropboxusercontent.com/s/4o3dllw65z6wemb/vamos. lek.

Это вредоносное ПО относится к семейству банковских троянов Kronos. Это похититель учетных данных с возможностями захвата формы и внедрения HTML.

Обе эти угрозы обнаружены Malwarebytes Anti-Malware:

Сноски

Впервые мы заметили повышенную активность Sundown EK в начале этого года, и после того, как Angler отключился, мало что изменилось.Neutrino и RIG боролись за первое место, в то время как другие, такие как Magnitude и Sundown, продолжали проводить свои более мелкие и целенаправленные кампании.

Сбор этой полезной нагрузки Kronos был интересен, потому что это часть наблюдаемой нами в последнее время тенденции увеличения числа банковских троянцев, распространяемых через кампании вредоносной рекламы.

Особая благодарность @hasherezade за помощь в распаковке вредоносных программ.

Дальнейшее чтение

Smoke Loader — загрузчик с дымовой завесой еще жив

МОК:

• Посадка Raw Sundown EK: ссылка
• Частично деобфусцированная посадка (спасибо Дэвиду Ледбеттеру): ссылка
• шаблонов URL:
  • фхбг. futureproducts.xyz/index.php?8Fn3HGC8gA=sS28Njmi16RQG3jf2qBJ91nXhsFjqBM8rQf9zlFjJV6oksXmwLUiEzNO
  • fhbg.futureproducts.xyz/undefined
  • fhbg.futureproducts.xyz/45786437956439785/127.swf
  • fhbg.futureproducts.xyz/580367589678954654986459286/489567945678456874356487356743256.swf
  • fhbg.futureproducts.xyz/580367589678954654986459286/459643097739469743657974386794384.xap
  • де.piclogo.xyz/43526876827345687356872456.php?id=127
  • de.piclogo.xyz/z.php?id=127
• Дымовой загрузчик: e420e521f891c1a6245e377dc7a6ab70458b7c0d77ad39535cb59018a542fe15
• Кронос: e420e521f891c1a6245e377dc7a6ab70458b7c0d77ad39535cb59018a542fe15

Буэр Лоадер, восходящая суперзвезда темной паутины

С конца августа 2019 года исследователи из Proofpoint отслеживают новый загрузчик, получивший название «Buer». Говорят, что он использует языки программирования C и .NET Core для улучшения эксплуатации клиентов и серверов. Этот загрузчик продается на различных темных веб-форумах и содержит набор функций, аналогичный набору Smoke Loader. Известно, что Smoke Loader загружал различные банковские трояны, такие как Ursnif и The Trick , основной целью которых была кража финансовых и банковских учетных данных.

Заметные кампании

• Исследователи Proofpoint впервые обнаружили вредоносные сообщения электронной почты 28 августа.Эти электронные письма содержали вложения Microsoft Word, в которых использовались макросы Microsoft Office для загрузки полезных данных следующего этапа с URL-адресов, включая:
• hxxp://jf8df87sdfd.yesteryearrestorations[.]net/gate.php
• hxxp://93345fdd.libertycolegios[.]com/gate.php

Отброшенная полезная нагрузка называлась verinstere222.xls или verinstere33. exe , что в то время было недокументированной полезной нагрузкой.

• 10 октября был обнаружен еще один экземпляр вредоносной кампании в Австралии.Он перенаправлялся на Fallout Exploit Kit (EK), сбрасывая загрузчик Buer, который, в свою очередь, сбрасывал несколько вредоносных программ второго уровня, таких как KPOT Stealer, Amadey и Smoke Loader.
• Третье появление этого загрузчика было зафиксировано 21 октября, когда исследователи Proofpoint наблюдали еще одну кампанию вредоносных сообщений электронной почты, содержащую вложения Microsoft Word с макросами, которые, если они включены, выполняли Остап. Остап загружал этот загрузчик со следующего URL-адреса : hxxps://185.130.104[.]187/nana/kum.php?pi=18b&[отредактировано]

Загруженный загрузчик дополнительно загрузил вторичный загрузчик, The Trick «ono22».

Характеристики погрузчика Buer

Загрузчик Buer был продан в даркнете российским автором, который, похоже, продает вредоносное ПО дешевле, чем iPhone. Всего за 400 долларов США автор предоставляет услуги по настройке программного обеспечения и предоставлению бесплатных обновлений и исправлений ошибок. Давайте посмотрим на его особенности сейчас:

• Автор делает акцент на высокой производительности как клиента, так и сервера за счет выбора языка программирования.Он утверждает, что модульный бот полностью написан на C и использует панель управления, использующую .NET Core в качестве базового языка.
• Согласно описанию, бот имеет общую полезную нагрузку от 55 до 60 килобайт, функционирует как собственный исполняемый файл Windows и динамически подключаемая библиотека, полностью работает в резидентной памяти и совместим с 32-разрядными и 64-разрядными операционными системами Microsoft Windows. .
• Бот обменивается данными через соединение HTTPS и может обновляться удаленно из панели управления после расшифровки, а также восстановления.
• Автор также отмечает, что загрузчик работает как суррогатный процесс доверенного приложения и функционирует с использованием привилегий уровня пользователя.
• В частности, программное обеспечение не будет работать в странах СНГ (бывших советских республиках, таких как Россия).

Этот загрузчик развивается быстрыми темпами, и это видно из того факта, что даже если первые два шага загрузки не увенчались успехом, загрузчик Buer теперь начал выполнять свой собственный процесс. Это означает, что он больше не зависит от других полезных нагрузок для заражения.Хотя исследователи еще не нашли доказательств, но авторы рекламируют, что Buer имеет встроенную поддержку контейнеров Docker , что еще больше облегчит его распространение на арендованных хостах, используемых для вредоносных целей. Buer — это надежный загрузчик с геотаргетингом, профилированием системы и антианализом, который считается «Восходящей звездой темной паутины».

Buer, новый загрузчик появляется на подпольном рынке

04 декабря 2019 г. Келси Мерриман | Деннис Шварц | Кофеин | Аксель Ф | Команда Proofpoint по анализу угроз

Обзор

В течение нескольких лет исследователи Proofpoint отслеживали использование загрузчиков первого этапа, которые злоумышленники используют для установки других форм вредоносных программ во время и после своих вредоносных кампаний по электронной почте.В частности, за последние два года эти загрузчики стали более надежными, предоставляя расширенные возможности профилирования и таргетинга.

Что еще более важно, загрузчики и другие вредоносные программы, такие как ботнеты и банковские трояны, заменили программы-вымогатели в качестве основных полезных нагрузок, что дает злоумышленникам возможность развертывать ряд вредоносных программ при вторичном заражении. Например, один из наиболее распространенных, Smoke Loader, широко использовался для сброса полезных нагрузок, таких как банковские трояны Ursnif и The Trick, а также для использования собственных модулей для кражи учетных данных и другой информации и данных, а также других вредоносных функций.

С конца августа 2019 года исследователи Proofpoint отслеживают разработку и продажу его авторами нового модульного загрузчика Buer. Buer имеет функции, которые могут конкурировать с Smoke Loader, он активно продается на известных подпольных рынках и предназначен для использования субъектами, которые ищут готовое готовое решение.

Кампании

28 августа 2019 г.

28 августа исследователи Proofpoint обнаружили вредоносные сообщения электронной почты, которые, по-видимому, являются ответом на более ранние законные сообщения электронной почты.Они содержали вложения Microsoft Word, в которых использовались макросы Microsoft Office для загрузки полезной нагрузки следующего этапа.

Рисунок 1. Пример вложения Microsoft Word, использованного в кампании

Мы наблюдали загрузку полезной нагрузки следующего этапа с URL-адресов, включая:

hxxp://jf8df87sdfd.yesteryearrestorations[. ]net/gate.php

hxxp://93345fdd.libertycolegios[.]com/gate.php

Сброшенная полезная нагрузка получила имя verinstere222.xls или verinstere33.exe (соглашение об именах, которое актер использовал в этот период). Вместо варианта Ursnif Dreambot, который часто ассоциируется с этим актером, полезная нагрузка представляла собой недокументированный загрузчик, ранее не встречавшийся в дикой природе.

В последующие недели, в течение сентября и октября, исследователи Proofpoint и другие члены сообщества информационной безопасности [1] наблюдали, как в нескольких кампаниях одного и того же субъекта отбрасывался либо вариант Dreambot Ursnif, либо этот новый загрузчик.

10 октября 2019 г.

10 октября исследователи Proofpoint наблюдали за кампанией вредоносной рекламы в Австралии, которая перенаправляла на Fallout Exploit Kit (EK) и сбрасывала новый загрузчик.

Рисунок 2: Трассировка сетевого трафика HTTP с Fallout EK, использующим уязвимые браузеры

Затем загрузчик сбросил несколько вредоносных программ второго уровня, включая KPOT Stealer, Amadey и Smoke Loader.

21 октября 2019 г.

С начала июля исследователи Proofpoint зафиксировали примерно 100 кампаний с участием Остапа [2], почти исключительно загружающих несколько экземпляров The Trick.Однако 21 числа исследователи Proofpoint обнаружили вредоносные сообщения электронной почты с такими строками темы, как «Уведомление о наказании № PKJWVBP» , содержащие вложения Microsoft Word. В документах содержались макросы, при включении которых выполнялся Остап. Мы наблюдали, как Остап скачивал этот загрузчик с

hxxps://185.130.104[.]187/nana/kum.php?pi=18b&[отредактировано]

, который, в свою очередь, загрузил The Trick «ono22» из своего C&C: garrisontx[.]us

Рис. 3. Сетевой трафик после включения макроса во вредоносных документах.

Рисунок 4: Пример приложения Microsoft Word, использованного в кампании 21 октября

Рынок и анализ функций

Поскольку мы начали наблюдать за использованием этого нового загрузчика в нескольких различных кампаниях, мы ожидали, что он продается на подпольном рынке нескольким участникам. Более того, мы обнаружили рекламу от 16 августа на подпольном форуме, в которой описывался загрузчик под названием «Buer», совпадающий по функциональности с вредоносной программой, обнаруженной в вышеуказанных кампаниях.

Функции, добавленные и рекламируемые в последующие недели, точно соответствуют эволюции загрузчика, обнаруженной в этих кампаниях.

Мы получили текст с доски объявлений, в котором автор на русском языке запросил плату в размере 400 долларов США за вредоносное ПО и предложил свои услуги по настройке программного обеспечения для потенциальных клиентов, чтобы запустить его. Автор также отмечает, что обновления и исправления ошибок бесплатны, но за «перестроение на новые адреса» взимается дополнительная плата в размере 25 долларов.

Следующий текст, который Proofpoint также извлек из подпольной торговой площадки и предположительно написан автором вредоносной программы, представляет собой краткое изложение функциональности загрузчика в том виде, в каком оно описано на русском языке:

Рисунок 5. Текст сообщения на подпольном форуме, описывающего функциональность бота Buer Loader

Точно так же в рекламе перечислены функции панели управления. Автор отмечает, что модульный бот полностью написан на C, с использованием панели управления, написанной на .NET Core, подчеркивая более высокую производительность как клиента, так и сервера благодаря выбору языка программирования.

• Согласно описанию, бот имеет общую полезную нагрузку от 55 до 60 килобайт, функционирует как собственный исполняемый файл Windows и динамически подключаемая библиотека, полностью работает в резидентной памяти и совместим с 32-разрядными и 64-разрядными операционными системами Microsoft Windows. системы.
• Бот обменивается данными через соединение HTTPS и может обновляться удаленно из панели управления после расшифровки, а также восстановления.
• Автор также отмечает, что загрузчик работает как суррогатный процесс доверенного приложения и функционирует с использованием привилегий уровня пользователя.
• В частности, программное обеспечение не будет работать в странах СНГ (бывших советских республиках, таких как Россия).

В объявлении описаны следующие возможности сервера и панели управления:

• Рекламируется, что панель управления также написана на .NET Core, отмечая простоту установки в серверных системах Ubuntu / Debian Linux.
• Сервер предоставляет широкий спектр статистических данных, включая счетчики онлайн, живых, мертвых и общих ботов; обновление списка ботов в режиме реального времени; счетчик загрузки файлов; и возможность фильтровать системы по типу операционной системы, правам доступа установленных ботов и количеству логических процессорных ядер.
• Загруженные файлы с зараженных систем хранятся на сервере в зашифрованном виде, доступ к ним предоставляется по токену.
• Самое главное, как и сами боты, автор отмечает, что сервер не обрабатывает API-запросы, отправленные из стран-участниц СНГ.

Сообщение на форуме также содержало технические примечания к выпуску загрузчика Buer и панели управления (версия 1. 1.2). Во вступлении автор отметил, что запуск загрузчика теперь состоит из трех шагов — если первые два шага не удались на зараженной системе, а инъекция в суррогатный процесс не удалась (например, из-за несовместимости с самой криптой) , вместо этого загрузчик будет выполняться в своем собственном процессе.

В примечаниях к выпуску для загрузчика указано следующее:

• Загрузчик использует архитектуру FastFlux.
• Загрузчик работает из-под доверенного процесса в Microsoft Windows. Процесс MemLoadEx теперь поддерживает x64 [.]exe в качестве доверенного приложения.
• MemLoad был обновлен и теперь поддерживает родной x32 [.]exe.

В примечаниях к выпуску указаны следующие функции панели управления:

• Доступ к API осуществляется по протоколу HTTPS с поддержкой самозаверяющих сертификатов.
• Поддержка редактирования задач в панели. Пользователь может остановить задачу во время выполнения и изменить полезную нагрузку и количество выполнений.
• Добавлена ​​возможность создания задачи по ID бота. Очень подходит для точечных нагрузок.
• Пошаговое окно создания задач.
• Уведомление, позволяющее узнать о необходимых ботах онлайн.
• Увеличена уникальность идентификатора бота.
• На панель добавлены Теги, позволяющие сортировать ботов для последующих действий с ними.
• Отображает имя компьютера в таблице.
• Улучшена криптосовместимость.
• Добавлена ​​история ботов.
• «Панель теперь расширяется до Docker» (поддержка контейнера Docker).
• Проверка файла на панели. Теперь панель не пропустит файл, который загрузчик не сможет скачать и уведомит об этом клиента.
• Теперь задачи можно повторять.

Наконец, автор описал следующие технические изменения для версии 1.1.9. Они заслуживают внимания, поскольку демонстрируют, что вредоносное ПО находится в активной профессиональной разработке.

• Загрузчик получил новый метод запуска External для локальных файлов. Плюсы метода – уникальность и отсутствие CreateProcess/ShellExecute через загрузчик. Запуск выдает доверенный процесс без каких-либо команд к нему.
• В панели есть возможность пометить всех ботов, выполнивших определенную задачу. Это позволит пользователю распределять полезную нагрузку на определенные группы ботов.
• Реализован API интеграции. Доступная документация на него.
• Добавлена ​​возможность отправки файла по ссылке в режиме прокси. Файл передается боту в зашифрованном виде.
• Исправлена ​​ошибка подсчета ботов по странам и добавлены другие улучшения.

Скриншоты панели управления

В подпольную рекламу были включены следующие скриншоты панели управления, на которых показаны некоторые серверные возможности, доступные клиентам, включая мониторинг телеметрии, фильтрацию хостов и многое другое.

Рисунок 6: Пользовательский интерфейс входа в панель управления для Buer Loader C&C

Рисунок 7: Экран мониторинга телеметрии ботов для панели управления Buer.

Рисунок 8: Экран мониторинга телеметрии ботов в темном режиме для панели управления Buer.

Рис. 9. Представление фильтра панели управления с изображением удаленных ботов, отфильтрованных по архитектуре Microsoft Windows.

Рисунок 10: Вид панели управления, показывающий управление файлами для задач загрузчика

Рисунок 11: Панель управления удаленными ботами, отсортированными по правам пользователя.

Рисунок 12: Панель управления, статус задачи

Рисунок 13: Вид панели управления, создание задачи

Анализ вредоносных программ

Buer Loader — это новая вредоносная программа-загрузчик, которая загружает и выполняет дополнительные полезные нагрузки.

Функции антианализа

Загрузчик содержит некоторые базовые функции антианализа:

• Проверяет наличие отладчиков, проверяя NtGlobalFlag в блоке среды процесса (PEB) и блоке среды потока (TEB)
• Проверяет наличие виртуальных машин с помощью Red Pill [4], No Pill [5] и связанных механизмов
• Проверяет язык, чтобы убедиться, что вредоносное ПО не работает в определенных странах (рис. 14)

Рисунок 14. Проверка вредоносного ПО, чтобы убедиться, что оно не работает в определенных странах

Стойкость

Постоянство настраивается путем настройки записи RunOnce в реестре.В зависимости от версии запись реестра будет запускать вредоносное ПО напрямую или запланировать задачу для его выполнения.

Зашифрованные строки

Этот образец содержит функцию для шифрования строк.

Рисунок 15: Последовательность расшифровки строк

Следующая функция является примером того, как расшифровать зашифрованные строки в Ghidra с помощью Jython:

Рисунок 16: Последовательность расшифровки строк (версия Python)

Рисунок 17: Пример расшифровки строки

вызовы Windows API

В этом образце используется алгоритм хеширования для разрешения большинства вызовов Windows API.Алгоритм хеширования гарантирует, что каждый символ имени API является заглавной буквой. Затем он поворачивает вправо (ROR) каждый символ на 13 и складывает их вместе.

Рисунок 18. Алгоритм хеширования для разрешения вызовов Windows API

Следующая функция является примером того, как можно использовать Python для разрешения вызовов API.

Рисунок 19. Пример сценария Python, используемого для помощи в разрешении хешированных вызовов Windows API

В следующей таблице содержится список некоторых выбранных используемых хэшей и соответствующие им имена Windows API:

Таблица 1. Вызовы Windows API с выбранными хэшами

Управление и контроль

Функции управления и контроля (C&C) обрабатываются через запросы HTTP(S) GET.Пример командного маяка выглядит так, как показано на рисунке 20:

Рисунок 20: Пример командного маяка

Эти запросы идут к «API обновлений» и содержат зашифрованный параметр. Этот параметр можно расшифровать:

1. Декодирование Base64
2. Шестнадцатеричный код
3. Расшифровка RC4 (в проанализированных образцах использовался ключ «CRYPTO_KEY»)

Пример параметра открытого текста:

88a5e68a2047fa5ebdc095a8500d8fae565a6b225ce94956e194b4a0e8a515ae | ab21d61b35a8d1dc4ffb3cc4b75094c31b8c00de3ffaaa17ce1ad15e876dbd1f | Windows 7 | 64 | 4 | Администратор | RFEZOWGZPBYYOI

Содержит данные, разделенные вертикальной чертой, состоящие из:

• Идентификатор бота (шестнадцатеричный дайджест SHA-256 различных системных параметров, таких как GUID и имя профиля оборудования, имя компьютера, серийный номер тома и CPUID)
• Хэш SHA-256 собственного исполняемого образа
• Версия Windows
• Тип архитектуры
• Количество процессоров
• Права пользователя
• Имя компьютера

Пример ответа командного маяка показан на рисунке 21:

Рисунок 21: Пример ответа на команду маяка

Его можно расшифровать аналогично параметру запроса выше, за исключением того, что байты в шестнадцатеричном формате разделены символами тире. Пример ответа в виде открытого текста показан на рис. 22:

Рисунок 22: Ответ маяка на команду в виде открытого текста

Расшифрованный текст представляет собой объект JSON, содержащий различные параметры загрузки и выполнения полезной нагрузки:

• – бывает двух типов:
  • обновление – самообновление
  • download_and_exec — загрузить и выполнить
• options — указывает параметры полезной нагрузки для загрузки:
  • Хэш — применим только к типу «обновление», чтобы определить, доступно ли новое обновление
  • x64 – является ли полезная нагрузка 64-битной
  • FileType – не используется в анализируемых образцах
  • AssemblyType – не используется в анализируемых образцах
  • AccessToken — используется для загрузки полезной нагрузки (см. ниже)
  • Внешний — указывает, загружается ли полезная нагрузка с C&C или внешнего URL-адреса
• метод – метод исполнения:
  • exlocal — создать процесс
  • memload — внедрить и вручную загрузить полезную нагрузку
  • memloadex — вводить и вручную загружать полезную нагрузку
  • loaddllmem — внедрить и вручную загрузить полезную нагрузку
• параметры – параметры для передачи в командной строке
• pathToDrop – не используется в анализируемых образцах
• autorun — указывает, следует ли настраивать сохраняемость Registry RunOnce для полезной нагрузки
. Модули
• — см. раздел «Модули» ниже
• тайм-аут – не используется в анализируемых образцах

Полезные данные, загружаемые с C&C-сервера, выполняются через запросы к «API загрузки» , как показано на рис. 23:

Рисунок 23: Загрузка полезной нагрузки из C&C

Пример параметра запроса открытого текста показан ниже:

88a5e68a2047fa5ebdc095a8500d8fae565a6b225ce94956e194b4a0e8a515ae|58007044-67d4-4963-9f5f-400dfbc69e74

Содержит идентификатор бота и «AccessToken» из ответа командного маяка.Если полезная нагрузка загружается с C&C, она шифруется с помощью RC4. В проанализированных образцах ключ был «CRYPTO_KEY».

Модули

Ответ командного маяка содержит список «модулей». Исследователи Proofpoint еще не наблюдали, чтобы модули Buer использовались в дикой природе, но, судя по коду, этот список будет содержать токены доступа к модулям. Имя файла модуля запрашивается путем отправки AccessToken в «API модуля» C&C. Затем модуль будет загружен с использованием «API загрузки модуля» . После загрузки и расшифровки он загружается с использованием метода «loaddllmem» .

Заключение

Новый загрузчик, Buer, недавно появился в различных кампаниях через вредоносную рекламу, ведущую к наборам эксплойтов; в качестве вторичной полезной нагрузки через Остап; и в качестве основной полезной нагрузки для загрузки вредоносных программ, таких как банковский троян The Trick.

Новый загрузчик имеет надежные функции геотаргетинга, системного профилирования и антианализа и в настоящее время продается на подпольных форумах с дополнительными услугами по настройке.Русскоязычный автор(ы) активно развивает загрузчик со сложными панелями управления и богатым набором функций, что делает вредоносное ПО конкурентоспособным на подпольных рынках.

Загрузчик написан на C, в то время как панель управления написана на ядре . NET, что указывает на оптимизацию производительности и небольшой объем загрузки, а также на возможность простой установки панели управления на серверах Linux — встроенная поддержка контейнеров Docker. еще больше облегчит его распространение на арендованных хостах, используемых для злонамеренных целей, а также, возможно, на скомпрометированных хостах.Последняя возможность включена в рекламируемые функции и примечания к выпуску.

Каталожные номера

[1] https://twitter.com/malware_traffic/status/11824568

259652

[2] https://www.cert.pl/en/news/single/ostap-malware-analysis-backswap-dropper/

[3] https://www.proofpoint.com/us/threat-insight/post/ostap-bender-400-ways-make-population-part-with-their-money

[4] https://www.aldeid.com/wiki/X86-assembly/Instructions/sidt

[5] https://www.aldeid.com/wiki/X86-assembly/Instructions/sldt

Индикаторы компрометации (IOC)

МОК	Тип IOC	Описание
fa699eab565f613df563ce47de5b82bde16d69c5d0c05ec9fc7f8d86ad7682ce	ша256	28. 08.2019
http[://45.76.247[.177:8080/API/обновление/	URL-адрес	Обратный вызов Buer C&C 28.08.2019
6c694df8bde06ffebb8a259bebbae8d123effd58c9dd86564f7f70307443ccd0	ша256	03.09.2019
197163b6eb2114f3b565391f43b44fb8d61531a23758e35b11ef0dc44d349e90	ша256	24.09.2019
https[://173.212.204[.171/api/обновление/	URL-адрес	Обратный вызов Buer C&C 24.09.2019
9e8db7a722cc2fa13101a306343039e8783df66f4d1ba83ed6e1fe13eebaec73	ша256	2019-10-16 (Осадок)
http[://134.0.119[.53:8080/api/update/	URL-адрес	Обратный вызов Buer C&C 2019-10-16
ab21d61b35a8d1dc4ffb3cc4b75094c31b8c00de3ffaaa17ce1ad15e876dbd1f	ша256	21. 10.2019 (Остап дроп)
https[://garrisontx[.нас/апи/обновление/	URL-адрес	Обратный вызов Buer C&C 21.10.2019
https[://185.130.104[.187/nana/kum.php?pi=18b	URL-адрес	Экземпляр Остапа, с которого выпадает Буэр – 21.10.2019
753276c5887ba5cb818360e797b94d1306069c6871b61f60ecc0d31c78c6d31e	ша256	Буэр 28.11.2019
ffload01[.топ|185.125.58[.11 ffload01[.top|185.186.141[.129	домен|IP	Buer C&C 28.11.2019

Подписи ET и ETPRO Suricata/Snort

2029077 || ET TROJAN Запрос на обновление загрузчика Buer

2029079 || ET TROJAN Buer Loader Ответ

2029078 || ET TROJAN Buer Loader Запрос на загрузку

2839684 || ET TROJAN Buer Loader успешная загрузка полезной нагрузки

2029080 || Обнаружен сертификат SSL/TLS (Buer Loader)

Кампания по вредоносной рекламе использует RIG EK для удаления загрузчика Quant, который загружает FormBook.

– Разбивка вредоносных программ

Пару дней назад я наткнулся на необычный запрос на лендинг RIG EK. Журнал показал, что реферер пришел с сайта под названием pay-scale[.]us:

.

Просматривая журналы, относящиеся к этому событию, я обнаружил, что пользователь посетил подозрительный сайт, используя нДВУ .ac. Оценки трафика показали, что за последние 30 дней этот сайт посетило 500 000 000 человек. Когда я исследовал сайт, я был перенаправлен через вредоносный рекламный трафик на мошенничество с технической поддержкой.Это наводит меня на мысль, что первоначальный реферер был связан с вредоносной рекламой. Вредонос, вероятно, перенаправил хост на pay-scale[.]us через код состояния 3XX.

Проверка исходного кода страницы для pay-scale[.]us показывает, что веб-сайт был скопирован с usmotors[.]com с помощью HTTrack Website Copier:

Глядя чуть дальше вниз по странице, мы видим, как пользователь был перенаправлен на RIG EK с pay-scale[.]us:

Домен в скрытом iframe, medical-help[. ]top, разрешается в 91.92.136.170.

Информация Whois показывает, что эти домены были зарегистрированы с использованием имени «Terry Kornfeld» и адреса электронной почты [email protected]. Поиск всех доменов, зарегистрированных с использованием этого имени и/или адреса электронной почты, дал следующее:

.

Домен	Зарегистрировано
i-yourdoctor[.]top	08.10.2017
highqualitywebhelp[.] топ	08.10.2017
кинодней[.]топ	04.10.2017
фотосетти[.]нас	02.10.2017
шкала оплаты[.]США	01.10.2017
madicalcareme[.]top	19.09.2017
mymedicalcare[.]us	17.09.2017
фото24[.]верх	09.09.2017
медицинская помощь[.]top	09. 09.2017

Эти сайты следует считать вредоносными.Кроме того, некоторые из них используются для деятельности C2. Подробнее об этом позже.

Сервер возвращает 302 Found с местоположением, содержащим URL-адрес целевой страницы RIG EK.

Дальнейшее изучение инфраструктуры, используемой в этой кампании, показало, что злоумышленники используют Keitaro TDS:

Ниже приведено изображение HTTP-трафика, захваченного во время этой цепочки заражения:

RIG EK сбросил две идентичные полезные нагрузки Quant Loader в %TEMP%:

При запуске Quant Loader скопировал себя в %APPDATA%[uid]svchost.исполняемый файл:

[uid] — восьмизначный уникальный идентификатор, сгенерированный для зараженного хоста. Forcepoint показывает, как генерируется уникальный идентификатор:

.

1. Получите значение GUID Windows из HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCryptography
2. Извлечь только числовые значения, без букв и тире
3. Скопируйте 8 номеров, начиная с 5-го числа

Затем вредоносная программа повторно запускает себя под «svchost. exe» и создает файл «C:Users[Username]AppDataLocalTempper».Были записаны следующие процессы и действия:

1. svchost.exe создает процесс regini.exe
2. regini.exe считывает данные из файла %TEMP%на
3. svchost.exe удаляет файл %TEMP% по
4. svchost.exe устанавливает ключ реестра AutoStart «HKCUSoftwareMicrosoftWindowsCurrentVersionRunQt»

Quant Loader также изменяет брандмауэр Windows, чтобы разрешить исходящие соединения с помощью команды:

 брандмауэр netsh.exe advfirewall добавить правило "name=Quant" "program=c:usersappdata[uid]svchost.exe" dir=Out action=разрешить 

 

Я обнаружил постинфекционный трафик на C2 на сайте filmdays[.]top/q/, который был зарегистрирован «Терри Корнфельдом» с использованием адреса электронной почты [email protected]:

• id = уникальный идентификатор зараженного хоста
• c = текущий индекс используемого сервера
• mk = строка, которая, вероятно, используется в качестве филиала кампании с идентификатором
.
• il = Не подтверждено
• vr = не подтверждено, но может иметь номер версии
.
• bt = не подтверждено, но может быть x86 или x64

Ниже приведен пример TCP-соединений Quant Loader C2, перехваченных во время моего заражения:

Удаленный адрес: 85.217.170.186
Имя удаленного хоста: t.co
Удаленный порт: 80
Имя процесса: svchost.exe
Путь процесса: C:UsersWin7 32bitappdataroaming[uid]svchost.exe
Удаленный IP-адрес Страна: Болгария

Удаленный адрес: 212.73.150.215
Удаленное имя хоста: v22597.vps.ag
Удаленный порт: 80
Имя процесса: svchost.exe
Путь процесса: C:UsersWin7 32bitappdataroaming[uid]svchost.exe
Удаленный IP-адрес Страна: Болгария

В моем заражении первый сервер (c=1) ответил, указав местонахождение последующего вредоносного ПО, расположенного в motorsus[.]us/fb.exe.

Motorsus[.]us находится под контролем одного и того же злоумышленника. Имя и адрес электронной почты, используемые для регистрации этого домена, — «Lee M Clark» и john. [email protected]. Ниже приведен список текущих доменов, использующих эту информацию о регистранте.

Домен	Зарегистрировано
Motorsus.us	01.10.2017
Seechicagodance.us	01.10.2017

Эта полезная нагрузка сбрасывается в %TEMP% и выполняется.

Мой друг идентифицировал вредоносное ПО, загружаемое Quant Loader, как FormBook .

FormBook после запуска скопировал себя (был скрыт) в %USERPROFILE%:

Вредоносное ПО было переименовано в mfc gn2pl .exe .

Согласно FireEye, он также может использовать следующие префиксы для своего имени:

• мс
• МФЦ
• победа
• гди
• вга
• игфкс
• пользователь
• помощь
• конфигурация
• обновление
• регвк
• чкдск
• системный трей
• аудиодг
• диспетчер сертификатов
• авточек
• таскхост
• цветной набор
• услуги
• IconCache
• ThumbCache
• Файлы cookie

Он также может использовать следующие расширения файлов:

• . исполняемый файл
• .com
• .scr
• .pif
• .cmd
• .bat

Если он работает с обычными привилегиями, он копируется в один из следующих каталогов:

• %ПРОФИЛЬ ПОЛЬЗОВАТЕЛЯ%
• %APPDATA%
• %ТЕМП%

Вот еще одно изображение, показывающее другую копию с именем Cookiescz7x.cmd, созданную в %APPDATA%:

Если он работает с повышенными привилегиями, он копирует себя в один из следующих каталогов:

• %ProgramFiles%
• %CommonProgramFiles%

В моем заражении я обнаружил, что он настраивает сохранение в HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun:

Однако, в зависимости от его привилегий, он также может использовать следующие места для сохранения:

• HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
• HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
• HKCSOFTWAREMicrosoftWindowsCurrentVersionRun

FormBook был направлен на basefilm[. ]top/tesla/shell123/config.php.

Basefilm[.]top зарегистрирован на «Shirhall Shirhall» и использует адрес электронной почты регистранта [email protected].

Я перехватил следующие запросы GET:

Параметр «id», указанный в URL-адресе, содержит закодированную информацию о системе.

Вредоносное ПО также использует HTTP-запросы POST для отправки данных обратно в basefilm[.]top/tesla/shell123/config.php:

Согласно FireEye, эти сообщения для C2 зашифрованы RC4 и закодированы в Base64.

FireEye также упоминает, что FormBook будет использовать «функциональные перехватчики для регистрации нажатий клавиш, кражи данных буфера обмена и извлечения аутентификационной информации из HTTP-сессий браузера».

Для нажатий клавиш, захваченных во время сеанса просмотра в Internet Explorer, создается следующий файл:

• %APPDATA%JQ18T541JQ1log.ini

Вы можете увидеть, как мои сеансы HTTP и нажатия клавиш фиксируются в файле . ini:

Быстрая заметка.Мой друг изучил образец FormBook и обнаружил, что он загружает ZeuS Panda с веб-вставками для PayPal, eBay, Amazon и BoQ (Bank of Queensland ). Образец ZeuS можно посмотреть ниже:

https://www.virustotal.com/en/file/e4474970dd8d2f9e4a3d4a0fa06d82f8d6c2af49737d6cb2e5db6a388aa930ba/analysis/

Сетевые контроллеры ввода-вывода

• 212.73.150.215 – pay-scale[.]us – Вредоносный фиктивный сайт
• 91.92.136.170 – медицинская помощь[.]top – перенаправлено на RIG EK
• 176.57.217.78 — буквальное IP-имя хоста, используемое RIG EK
.
• 85.217.170.186 — filmdays[.]top — GET /q/index.php — Quant Loader C2
• 212.73.150.215 – motorsus[.]us – GET /fb.exe – GET для FormBook
• 169.239.128.162 — basefilm[.]top — GET и POST /tesla/shell123/config.php — маяк FormBook и C2

DNS-запросы для kinnomanna.top:

Хэши

SHA256: c10c659498c3bd5ed8454c0041739db7d324ddd09126c16ea229ab30e9232de4
Имя файла: целевая страница RigEK. текст

SHA256: b5dc599319b6f0968db9318e3d5dbbd6939c4d7b879e45269210a5878b7551a4
Имя файла: RigEK Flashexploit.swf

SHA256: 22aba6be7e754e7163e8adb72f7235ad97ff411a29c98444ddacc24bd04cdc34
Имя файла: o32.tmp

SHA256: 8e94bd154dbea3d020cce1e216f4a327d0ddf65737847ffed34113bf3fdb22dd
Имя файла: bilonebilo417.exe
Отчет гибридного анализа

SHA256: 2f74f8518bd14a882a870f3794a76dba381b59c1e40247a2483468959b572d82
Имя файла: fb.exe
Отчет гибридного анализа

SHA256: 0fa6898d426a6176ff7673d2d5336879d418f5be2714605eb32985626f508357
Имя файла: 05110.exe
Отчет гибридного анализа

SHA256: 72a4b137b02b0ef45f5013b88228132081cff1ecfeccecae5e70069bf38c5ba0
Имя файла: 15838.exe
Отчет гибридного анализа

загрузок

Вредоносные артефакты

Пароль «зараженный»

Каталожные номера:

1. https://blogs.forcepoint.com/security-labs/locky-distributor-uses-newly-released-quant-loader-sold-russian-underground
2. https://www. fireeye.com/blog/threat-research/2017/10/formbook-malware-distribution-campaigns.html

Нравится:

Нравится Загрузка…

Опубликовано malwarebreakdown

Просто обычный человек, который тратит свое свободное время на заражение систем вредоносными программами. Просмотреть все сообщения пользователя malwarebreakdown

Dofoil (Smoke Loader) Троян с Coin-Miner

 

В наши дни большинство вредоносных программ используют длинную цепочку атак с методами антианализа, чтобы затруднить обнаружение полезной нагрузки и ее анализ исследователями безопасности.Все чаще и чаще они также включают в свои атаки майнеров монет. Так обстоит дело с недавно обнаруженным вариантом Dofoil (также известного как Smoke Loader) трояна для майнинга монет , который включает в себя полезную нагрузку для добычи криптовалюты, истощающую ресурсы. Этот последний штамм Dofoil вышел на сцену в начале этого месяца и в настоящее время все еще активен.

С ростом популярности и прибыльности криптовалюты авторы вредоносных программ часто добавляют в свои атаки функции майнинга монет.Полезная нагрузка майнинга криптовалюты в этой волне атак добывает монеты Electroneum, которые являются менее распространенной валютой, но могут быть настроены для майнинга других криптовалют.

Компания Morphisec защитила своих клиентов от этого последнего варианта Dofoil (Smoke Loader) с момента его появления и предотвратит все будущие атаки, обновления не требуются.

Текущая кампания была идентифицирована исследователями Microsoft.

Всего за несколько часов атаке подверглось более 500 000 экземпляров.По данным Microsoft, 73% из них были в России, на Турцию — 18%, а на Украину — 4% глобальных встреч.

Изображение предоставлено: Microsoft

Мы сосредоточимся на образце Dofoil / Smoke Loader Trojan и применяемых методах уклонения. В этой кампании используются методы внедрения процессов (RunPE/Process-Hollowing) для обеспечения устойчивости и уклонения от обнаружения, а также несколько методов, усложняющих анализ.

Как показано на изображениях ниже, VirtualAlloc API Address используется для выделения памяти и последующего добавления смещения к началу выделенной базовой области.Ниже приведены некоторые индикаторы распакованного исполняемого шелл-кода (этот самомодифицирующийся код перезаписывается и выполняется из того же места).

 

Перейти к декодированному коду (шеллкоду):

В рамках методов уклонения Doifoil выполняет итерацию по PEB (Process Environment Block) для поиска полезных модулей и функций:

Найдите VirtualAlloc API (выделение новой области памяти), а затем скопируйте декодированный код в вновь выделенную область памяти:

После выделения памяти мы видим Decrypted PE в этой области памяти — это выдолбленный вредоносный PE:

 

 

После этих этапов Dofoil выполняет инъекцию Process Hollowing/RunPE.Скрывая код за легитимным процессом, чтобы его было труднее обнаружить, он создает процесс explorer. exe в приостановленном режиме и заменяет его расшифрованным вредоносным PE из памяти. Пустой процесс удаляет и запускает вредоносное ПО для майнинга монет как законный файл Windows wuauclt.exe.

Сама полезная нагрузка майнера монет использует несколько методов, призванных избежать обнаружения, включая идентификацию инструментов, используемых аналитиками, и их остановку.

Судя по изображению ниже, майнер монет может добывать различные криптовалюты, поскольку он поддерживается NiceHash.

 

 

Эта атака никогда не угрожала клиентам

Morphisec. Защита движущихся целей Morphisec перераспределяет пространство памяти приложения, поэтому любая атака, включая Dofoil, не может найти ресурсы, необходимые для ее выполнения. Атака останавливается до того, как она сможет выполнить какую-либо вредоносную деятельность.

Ресурсы

Хэши:

• d191ee5b20ec95fe65d6708cbb01a6ce72374b309c9bfb7462206a0c7e039f4d

 

EK BM873 TM 004 Перезапуск и загрузка

1. 1

ВВЕДЕНИЕ

ГЛАВА

1

ОПИСАНИЕ

В этом руководстве описывается работа и теория

из

BM873 Restart/Loader. Эта опция

предназначена для

использования

с процессорами

семейства PDP-II

из

. BM873

• обслуживает

•

погрузчик общего назначения

из

семейства

II

,

II

,

• Содержит загрузочные погрузчики для

Все

общие устройства,

• Обеспечивает возможность возможностей

из

загрузка со “скрытой консоли”,

• позволяет запускать из нескольких источников e.g., кнопка, Watchdog Timer,

MODEM

control, power failure,

etc.,

•

дает

Системы PDP-II

и

начальные

не менее четырех начальных адресов, а

• разрешает вызов

из

специальной пользовательской программы

ROM

.

IT

IT

Предполагается

, что

, что

Читатель

Тщательно знаком

из

PDP · I PROVENCORE IV IVE PROCESTOR, с которым это

опция

–

.

1.2 ОБЩЕЕ ОПИСАНИЕ

Опция BM873

представляет собой модуль

увеличенной в четыре раза длины, который вставляется в небольшой периферийный слот контроллера

(SPC). Существует четыре версии

,

BM873: Y A, YB,

YC,

и YD. Они описаны в таблице

I-I.

Программы, содержащиеся в BM873, могут быть загружены либо из консоли процессора (Загрузить адрес и запуск), с помощью

инструкции JMP

в программе

,

или

внешним контактом

замыкание или уровень напряжения.

8-контактный разъем Mate-N-Lok

используется для внешнего интерфейса

. Технические характеристики BM873 перечислены в таблице 1-2.

1.3 ФУНКЦИОНАЛЬНОЕ ОПИСАНИЕ

BM873 состоит из

из

двух основных секций: секвенсора перезапуска и

ПЗУ.

На рис. I-I показано время удаленного запуска. Секвенсор перезапуска принимает замыкание контактов или уровни напряжения и после фильтрации и задержки

устанавливает один

из

четырех триггеров выбора начального адреса.Настройка

из

один

из

триггеров приводит к установке триггера

Начало

Последовательность загрузки; Это,

в

поворот, инициирует два однослышателя для создания шины

AC

LO / BUS

DC

LO

II

Smokeeloader (семейство вредоносных программ)

новый актер для победы .smokeloader Стелс Манго и Танжело АЛЛАНИТ (Palmetto Fusion, Allanite)ANDROMEDA SPIDERANTHROPOID SPIDER (Империя обезьян, Кобальтовый гоблин) APT 16 (APT16, SVCMONDR)APT 22 (APT22, БРОНЗОВЫЙ ОЛИВКОВЫЙ)APT 26 (APT26, Hippo Team, JerseyMikes, Turbine Panda, BRONZE EXPRESS) APT 29 (Dukes, Group 100, Cozy Duke, CozyDuke, EuroAPT, CozyBear, CozyCar, Cozer, Office Monkeys, OfficeMonkeys, APT29, Cozy Bear, The Dukes, Minidionis, SeaDuke, Hammer Toss, YTTRIUM, Iron Hemlock, Grizzly Steppe)APT 30 (АПТ30)АПТ 6 (1. Группа php, APT6)APT-C-12 (Сапфировый гриб, Синий гриб, Ядерный кризис) APT-C-27 (Золотая мышь)APT-C-34 (Золотой сокол)АПТ-С-35 (Команда DoNot, Команда Donot, APT-C-35)APT-C-36 (Слепой орел)APT.3102APT31 (APT 31, ZIRCONIUM, JUDGMENT PANDA, BRONZE VINEWOOD)APT32 (OceanLotus Group, Ocean Lotus, OceanLotus, Cobalt Kitty, APT-C-00, SeaLotus, Sea Lotus, APT-32, APT 32, Ocean Buffalo, POND LOACH, TIN WOODLAWN, BISMUTH) APT33 (APT 33, Elfin, MAGNALLIUM, Refined Kitten, HOLMIUM, COBALT TRINITY)APT35 (APT 35, команда дикторов) APT37 (APT 37, Group 123, Group123, InkySquid, Operation Daybreak, Operation Erebus, Reaper Group, Reaper, Red Eyes, Ricochet Chollima, ScarCruft, Venus 121) APT39 (APT 39, Chafer, REMIX KITTEN, COBALT HICKMAN)APT41APT5 (МАРГАНЦЕВЫЙ, БРОНЗОВЫЙ ФЛИТВУД)ВОДНАЯ ПАНДАЯкорная панда (APT14, APT 14, QAZTeam, АЛЮМИНИЙ)AridViper (Пустынный сокол, Засушливая гадюка, APT-C-23) Аслан Неферлер Тим (Lion Soldiers Team, Phantom Turk)Аврора Панда (APT 17, заместитель пса, группа 8, APT17, Hidden Lynx, Tailgater Team, Dogfish, BRONZE KEYSTONE) Аксиома (Winnti Umbrella, Winnti Group, Suckfly, APT41, APT 41, Group72, Group 72, Blackfly, LEAD, WICKED SPIDER, WICKED PANDA, BARIUM, BRONZE ATLAS, BRONZE EXPORT, Red Kelpie)Айылдыз Тим (Полумесяц и звезда)БАМБУКОВЫЙ БОСС ПАУК ПАУК (ГОЛД ЛОУЭЛЛ)БРОНЗОВЫЙ ПРЕЗИДЕНТБэкдорДипломатия (BackDip, CloudComputating, Quarian)BahamutBeijing Group (Подлая панда, Элдервуд, Банда Элдервуда, SIG22) БелиалДемон (Matanbuchus)Berserk BearBig PandaBlackOasisBlackTech (КОНТУР ПАНДА, темп. За бортом, HUAPI, Palmerworm) Blackgear (Topgear, Comnie, BLACKGEAR) Синий термит (Cloudy Omega, Emdivi) Boulder BearBudminer (Группа кибершпионажа «Будмайнер»)BuhTrapCHRYSENE (Нефтяная вышка, Зеленый жук)ЦИРК ПАУКИ ЗАВОДНЫЕ ПАУКИКОБАЛЬТ ДИКЕНС (Кобальт Диккенс)КОБАЛЬТ ЮНОНА (APT-C-38 (QiAnXin), SABRE LION, TG-2884 (SCWX CTU))КОБАЛЬТОВАЯ КАТАНА (Hive0081 (IBM), SectorD01 (NHSC), кампания xHunt (Пало-Альто)) Группа CadelleCallistoCalypso (Калипсо, Калипсо АПТ)Карето (Маска, Маска, Уродливое лицо) Очаровательный котенок (Ведущий новостей, Parastoo, iKittens, Group 83, Newsbeef, NewsBeef) Кливер (Операция Кливер, Тарх Андишан, Алибаба, 2889, TG-2889, Кобальтовый цыган, Rocket_Kitten, Cutting Kitten, Group 41, Magic Hound, APT35, APT 35, TEMP. Шапочка, Гамбар) Умный котенок (Группа 41)Облачный АтласКобальт (Cobalt Group, Cobalt Gang, GOLD KINGSWOOD, COBALT SPIDER) Codoso (C0d0so, APT19, APT 19, Sunshop Group) Холодная река (Нар Эльбард, Нар Эль Баред)Комментарии (Comment Panda, PLA Unit 61398, APT 1, APT1, Advanced Persistent Threat 1, Byzantine Candor, Group 3, TG-8223, Comment Group, Brown Fox, GIF89a, ShadyRAT, Shanghai Group) Common RavenCopyKittens (Котенок-убийца)Корсар Шакал (TunisianCyberArmy)Режущий котенок (ITSecTeam, Threat Group 2889, TG-2889, Ghambar)Кибер БеркутАрмия Кибер Халифата (Подразделение хакеров Исламского государства, CCA, United Cyber ​​Caliphate, UUC, CyberCaliphate) Кибербойцы Изз Ад-Дин Аль Кассам (Братский шакал)ЛОВКИЙ ПАУКDNШпионаж (КОБАЛЬТ ЭДЖВАТЕР) ДВОЙНОЙ ПАУК (ЗОЛОТАЯ ЦАПЛЯ)DUNGEON SPIDERDYMALLOY (Стрекоза 2. 0, Dragonfly2, Berserker Bear)DantiDark BasinDark CaracalDarkHotel (DUBNIUM, Fallout Team, Karba, Luder, Nemim, Nemin, Tapaoux, Pioneer, Shadow Crane, APT-C-06, SIG25, TUNGSTEN BRIDGE, T-APT-02) DarkHydrus (LazyMeerkat)DarkVishnyaDeadeye Jackal (Сирийская Электронная Армия, ЮВА)Диззи Панда (LadyBoyle)Домашний котенокDragonOK (Моафи, БРОНЗОВЫЙ ОВЕРБРУК) Падающий слон (Чинастраты, Пэчворк, Муссон, Сарит, Стеганый тигр, АПТ-С-09, ЦИНК ЭМЕРСОН)Пыльная буряЭЛЕКТРУМ (Песчаный червь)ЭМИССАР ПАНДА (ТГ-3390, АПТ 27, АПТ27, ТЕМП.Бегемот, Красный Феникс, Червь, Группа 35, ZipToken, Железный Тигр, БРОНЗОВЫЙ СОЮЗ, Счастливая Мышь)Эль Мачете (Мачете, мачете-меткий, APT-C-43)Электрическая пандаКрасноречивая пандаЭнергичный медведь (Стрекоза, Крадущийся йети, Группа 24, Хавекс, Крадущийся йети, Команда коала, ЖЕЛЕЗНАЯ СВОБОДА) Группа уравнений (Tilded Team, Lamberts, EQGRP, Longhorn, PLATINUM TERMINAL) Evil Corp. (ЗОЛОТОЙ ДРАКОН)EvilPostEvilTraffic (Операция EvilTraffic)Evilnum (DeathStalker)FASTCashFIN1FIN10FIN11 (ТЕМП.Чернокнижник)FIN13FIN5FIN6 (СКЕЛЕТОН ПАУК, ITG08, MageCart Group 6, Белый великан, ЗОЛОТОЙ ФРАНКЛИН) FIN7 (CARBON SPIDER, GOLD NIAGARA, кальций)FIN8Flash KittenFlying Kitten (SaffronRose, Saffron Rose, AjaxSecurityTeam, Ajax Security Team, Group 26, Sayad)Fox Kitten (PIONEER KITTEN, PARISITE, UNC757)Foxy PandaFxmspGALLIUMGC01 (Золотые цыплята, Золотые цыплята01, Золотые цыплята 01)GC02 (Золотые цыплята, Золотые цыплята 02, Золотые цыплята 02) GCMANGOLD BURLAPGOLD CABIN (Шахтак, TA551)ЗОЛОТО ДЮПОН (SPRITE SPIDER)GOLD EVERGREENGOLD FAIRFAXGOLD FLANDERGOLD GALLEOGOLD GARDENGOLD MANSARDGOLD NORTHFIELDGOLD RIVERVIEWGOLD SKYLINEGOLD SOUTHFIELDGOLD SYMPHONYGOLD WaterfallGOLD WINTERGRIM SPIDER (GOLD ULRICK)GURU SPIDERGGallmakerGamaredon Group (Примитивный медведь) Гельземиум (狼毒草)Призрачный шакалGhostNet (Snooping Dragon)GhostwriterTaberish PandaGnosticplayersGolden RAT (APT-C-27)ГозНымЗеленый жукСерыйЭнергияПрикормкаГруппа 27Группа5HAFNIUMHOUND SPIDERHacking TeamHammer Panda (Чжэньбао, TEMP. Чжэньбао) Хеллсинг (Гоблин Панда, Конимес, Циклдек)КурицаЯщикХигайсаМедоносная пчелаКрючокРекламаЖужжаниеПлохаяУраган Панда (Black Vine, TEMP.Avengers)INDRIK SPIDERIRIDIUMIXESHE (Пронумерованная панда, TG-2754, BeeBus, Group 22, DynCalc, Calc Team, DNSCalc, Crimson Iron, APT12, APT 12, BRONZE GLOBE) Ice Fog (IceFog, Dagger Panda, Trident)Имитация пандыInception FrameworkInfy (Операция Русалка, Принц Персии, Фудр)InvisiMoleIron Group (Iron Cyber ​​Group) ItaDuke (DarkUniverse, SIG27)НОКАУТНЫЙ ПАУКПанда в замочной скважине (темп.бутылка)Кимсуки (Бархатная Чоллима, Черная банши, Таллий, Операция «Украденный карандаш») ЛУННЫЙ ПАУК (ЗОЛОТО СВОТМОР)ЛИЦЕЙ (КОБАЛЬТОВЫЙ ЛИЦЕЙ)Lazarus Group (Операция DarkSeoul, Dark Seoul, Hidden Cobra, Hastati Group, Andariel, Unit 121, Bureau 121, NewRomanic Cyber ​​Army Team, Bluenoroff, Subgroup: Bluenoroff, Group 77, Labyrinth Chollima, Operation Troy, Operation GhostSecret, Operation AppleJeus, APT38, APT 38, Stardust Chollima, Whois Hacking Team, Zinc, Appleworm, Nickel Academy, APT-C-26, NICKEL GLADSTONE, COVELLITE) Левиафан (ТЕМП. Перископ, TEMP.Jumper, APT 40, APT40, БРОНЗОВЫЙ МОХАВК, ГАДОЛИНИЙ, Криптонитовая панда)Ливийские скорпионыLonghorn (Ламберты, Ламберты, APT-C-39) Цветок лотоса (Spring Dragon, ST Group, Esile, DRAGONFISH, BRONZE ELGIN)Lotus Panda (Элиза)Lucky CatМАГНАЛИУМ (APT33) МАГНИТНЫЙ ПАУК КРАСОВОГО ПАУКА (ЗОЛОТАЯ ЛАГУНА)МИМИК ПАУКАМАМА ПАУКА (TA542, GOLD CRESTWOOD)MadiMageCartMagic Kitten (Group 42, VOYEUR)Повторные пользователи вредоносного ПО (Команда повторного использования, Танцующая Саломея) Команда МаныMaverick Panda (PLA Navy, APT4, APT 4, BRONZE EDISON, Sykipot)Microcin (SixLittleMonkeys) Мираж (Vixen Panda, Ke3Chang, GREF, Playful Dragon, APT 15, APT15, Metusy, Lurid, Social Network Team, Royal APT, BRONZE PALACE) Мофанг (Супермен, БРОНЗОВЫЙ ХОДК) Молераты (Команда хакеров Газы, Кибербанда Газы, Кибербанда Газы, Операция Молераты, Экстремальный шакал, Лунный свет, АЛЮМИНИЕВАЯ САРАТОГА) MoneyTakerMuddyWater (ТЕМП. Zagros, Static Kitten, Seedworm, MERCURY, COBALT ULSTER)Mustang Panda (БРОНЗОВЫЙ ПРЕЗИДЕНТ, HoneyMyte, Red Lich)НАРВАЛ-ПАУК (GOLD ESSEX, TA544)NEODYMIUMNOCTURNAL SPIDERNOTROBINNaikon (Подразделение НОАК 78020, АПТ 30, АПТ30, Оверрайд Панда, Камерашай, АПТ.Найкон, Лотос Панда, Хеллсинг, БРОНЗОВАЯ ЖЕНЕВА) Назар (SIG37)NetTraveler (APT 21, APT21, TravNet)Nexus ZetaНочной драконПаслиновая панда (APT 9, Flowerlady/Flowershow, Flowerlady, Flowershow)Нитро (Тайная роща)Кочевая пандаВНЕЗАКОННЫЙ ПАУКVERLORD SPIDEROilRig (Twisted Kitten, Cobalt Gypsy, Crambus, Helix Kitten, APT 34, APT34, IRN2) OnionDogOperation BugDropOperation C-Major (C-Major, Transparent Tribe, Mythic Leopard, ProjectM, APT36, APT 36, TMP. Лазурит, Зеленый Хавилдар, КОППЕР ФИЛДСТОУН)Операция КомандоОперация Кабар КобраОперация ПарламентОперация Ядовитые ИглыОперация Тень СилаОперация ТеньМолотОперация СнайперОперация Ключ СкелетаОперация Мягкая КлеткаОперация ВолшебникОпиумОперация ВокаоОранжевый ЧервьНашаШахтаПИНЧИ ПАУК (DD4BC, Ambiorx)ПЛАТИНОВЫЙ (TwoForOne)ЯДОВЫЙ КАРП (Злой глаз)ПРОМЕТИЙ (StrongPity)Pacha GroupPackratPale PandaPassCVPirate Panda (APT23, APT 23, KeyBoy, TropicTrooper, Tropic Trooper, BRONZE HOBART) Питти Панда (PittyTiger, MANGANESE)Ядовитая пандаPoseidon GroupPowerPool (IAmTheKing)Predator PandaProjectSauron (Страйдер, Саурон, Проект Саурон)Паттер Панда (Подразделение НОАК 61486, АПТ 2, АПТ2, Группа 36, АПТ-2, MSUpdater, 4HCrew, SULPHUR, SearchFire, TG-6952) RANCOR (Группа Ранкор, Ранкор, Группа Ранкор)РАСПАЙТ (LeafMiner, Raspite)RATPAK SPIDERRIDDLE SPIDERRTMRadio Panda (Скрытый арбалет)Мятежный шакал (FallagaTeam)Красный Октябрь (Рокра)КрасныйАльфаКрасныйЭхоБродячий богомол (Группа бродячих богомолов)Бродячий тигр (BRONZE WOODLAND, Rotten Tomato) RockeRocket Kitten (ТЕМП. Шапочка, Операция Шерстяная Золотая рыбка, Операция Шерстяная Золотая рыбка, Водохранилище Тамар, Древесный червь (Скотный двор, Снежный шар)SOLAR SPIDERSTARDUST CHOLLIMASVCMONDRSWEEDSabre PandaСамурайская панда (ВМС НОАК, команда Wisp)SandCatSands CasinoSandworm (Sandworm Team, Black Energy, BlackEnergy, Quedagh, Voodoo Bear, TEMP.Благородный, Железный Викинг) Сат-и МюдафааАлый МимикМорская ЧерепахаСекторJ04Shadow NetworkShell Crew (Deep Panda, WebMasters, APT 19, KungFu Kittens, Black Vine, Group 13, PinkPanther, Sh4llCr3w, BRONZE FIRESTONE)SideCopySideWinder (RAZOR TIGER, Rattlesnake, APT-C-17, T-APT-04)Группа SiestaSilence (Молчание, группа Silence APT, WHISPER SPIDER) Молчаливая Чоллима (Операция Трой, Хранитель мира, Республиканская партия, Команда WHOis, Андариэль, Подгруппа: Андариэль) Безмолвный библиотекарь (COBALT DICKENS, Mabna Institute, TA407)SilverTerrierSimaSlingshotSnake WineSofacy (APT 28, APT28, Pawn Storm, PawnStorm, Fancy Bear, Sednit, SNAKEMACKEREL, TsarTeam, Tsar Team, TG-4127, Group-4127, STRONTIUM, TAG_0700, Swallowtail, IRON TWILIGHT, Group 74, SIG40, Grizzly Steppe, apt_sofacy) SowbugSpicy PandaСтелс-сокол (Фруктовая броня)Каменная панда (APT10, APT 10, MenuPass, команда Menupass, команда menuPass, команда menuPass, happyyongzi, POTASSIUM, DustStorm, Red Apollo, CVNX, HOGFISH, Cloud Hopper, BRONZE RIVERSIDE)SubaatSuckflyTA2101 (Команда Лабиринта, СКРУТОЙ ПАУК, ЗОЛОТАЯ ДЕРЕВНЯ) TA410TA413TA428TA459TA505 (Группа SectorJ04, GRACEFUL SPIDER, GOLD TAHOE, Dudear) TA530TEMP. ОтшельникTEMP.Велес (Xenotime)TERBIUMTINY SPIDER TRACER KOTTENTENTREVELING SPIDERTaidoorTeamSpy Crew (TeamSpy, Team Bear, Berserk Bear, Anger Bear, IRON LYRIC)TeamTNTTeamXRat (CorporacaoXRat, CorporationXRat)TeleBots (Песчаный червь)TempTickTemper Panda (Admin338, Team338, MAGNESIUM, admin@338)Test PandaThe Big BangThe Gorgon Group (Группа Горгон, Субаат) Посредники теней (The ShadowBrokers, TSB, Shadow Brokers, ShadowBrokers) Трип (ЛОТОС ПАНДА) Тик (Ниан, БРОНЗОВЫЙ ДВОРЕЦКИЙ, REDBALDKNIGHT, STALKER PANDA) Команда Тонто (CactusPete, Karma Panda, BRONZE HUNTLEY) Черепаховый панцирь (ИМПЕРАТОРСКИЙ КОТЕНОК)Toxic PandaTurkHackTeam (Turk Hack Team)Turla Group (Turla, Snake, Venomous Bear, VENOMOUS Bear, Group 88, Waterbug, WRAITH, Turla Team, Uroburos, Pfinet, TAG_0530, KRYPTON, Hippo Team, Pacifier APT, Popeye, SIG23, Iron Hunter, MAKERSMARK)UNC1878UNC2452 (DarkHalo, StellarParticle, NOBELIUM)UNION SPIDERUPS (Gothic Panda, TG-0110, APT 3, Group 6, UPS Team, APT3, Buckeye, Boyusec, BORON, BRONZE MAYFAIR) Union PandaUnit 8200 (Duqu Group) Неназванный актерVENOM SPIDER (badbullzvenom)VIKING SPIDERViceLeakerViceroy Tiger (Appin, OperationHangover)Викинг Шакал (Vikingdom) Скрипка Панда (APT20, APT 20, Th4Bug, Twivy) Летучий кедр (Команда повторного использования, Повторные пользователи вредоносного ПО, Танцующая Саломея, Ливанский кедр) WIZARD SPIDER (ТЕМП.