{"id":314476,"date":"2020-12-07T15:02:07","date_gmt":"2020-12-07T15:02:07","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=314476"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=314476","title":{"rendered":"\u041a\u0440\u043e\u0448\u043a\u0430 \u0415\u043d\u043e\u0442: \u043a\u0430\u043a \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0430 FakeSecurity \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u043b\u0438 \u0441\u0442\u0438\u043b\u0435\u0440 Raccoon"},"content":{"rendered":"\n<div class=\"post__text post__text-html post__text_v1\" id=\"post-content-body\">\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/nn\/dw\/lk\/nndwlk-haaa5fyv_ttkhm5jzdma.jpeg\"><\/div>\n<p>  \u041b\u0435\u0442\u043e\u043c 2020 \u0433\u043e\u0434\u0430 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0441\u0442\u044b Group-IB \u043e\u0431\u0440\u0430\u0442\u0438\u043b\u0438 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 \u043d\u0435\u043e\u0431\u044b\u0447\u043d\u0443\u044e \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e \u043f\u043e \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e \u0441\u0442\u0438\u043b\u0435\u0440\u0430 Raccoon. \u0421\u0430\u043c \u0441\u0442\u0438\u043b\u0435\u0440 \u0445\u043e\u0440\u043e\u0448\u043e \u0438\u0437\u0432\u0435\u0441\u0442\u0435\u043d: \u043e\u043d \u0443\u043c\u0435\u0435\u0442 \u0441\u043e\u0431\u0438\u0440\u0430\u0442\u044c \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e, \u0434\u0430\u043d\u043d\u044b\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0437\u0430\u043f\u0438\u0441\u0435\u0439 \u0432 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430\u0445, \u0434\u0430\u043d\u043d\u044b\u0435 \u0431\u0430\u043d\u043a\u043e\u0432\u0441\u043a\u0438\u0445 \u043a\u0430\u0440\u0442, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0438\u0449\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u043a\u0440\u0438\u043f\u0442\u043e-\u043a\u043e\u0448\u0435\u043b\u044c\u043a\u0430\u0445. <\/p>\n<p>  \u0421\u044e\u0440\u043f\u0440\u0438\u0437 \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u0432 \u0434\u0440\u0443\u0433\u043e\u043c. <b>\u041d\u0438\u043a\u0438\u0442\u0430 \u0420\u043e\u0441\u0442\u043e\u0432\u0446\u0435\u0432, \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a Group-IB Threat Intelligence &amp; Attribution<\/b>, \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u043a\u0430\u043a \u0432 \u0445\u043e\u0434\u0435 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0445\u0440\u043e\u043d\u043e\u043b\u043e\u0433\u0438\u044e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438, \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0441\u0432\u044f\u0437\u0438 \u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u0430\u043c\u0438 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432. \u0417\u0430\u0431\u0435\u0433\u0430\u044f \u0432\u043f\u0435\u0440\u0435\u0434, \u043e\u0442\u043c\u0435\u0442\u0438\u043c, \u0447\u0442\u043e \u00ab\u0435\u043d\u043e\u0442\u00bb \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u043f\u0440\u0438\u043a\u043e\u0440\u043c\u043b\u0435\u043d\u043d\u044b\u043c \u0443\u0436\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0439 \u043d\u0430\u043c \u0433\u0440\u0443\u043f\u043f\u043e\u0439. <a name=\"habracut\"><\/a><\/p>\n<p>  \u041d\u0430\u0447\u043d\u0435\u043c \u0441 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u0441\u0430\u043c \u0441\u0442\u0438\u043b\u0435\u0440 Raccoon \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u0435\u0442\u0441\u044f \u043f\u043e \u043c\u043e\u0434\u0435\u043b\u0438 Malware-As-a-Service \u043d\u0430 \u043e\u0434\u043d\u043e\u043c \u0438\u0437 \u0434\u0430\u0440\u043a\u043d\u0435\u0442-\u0444\u043e\u0440\u0443\u043c\u043e\u0432 \u0432 \u0441\u0432\u044f\u0437\u043a\u0435 \u0441 Telegram-\u043a\u0430\u043d\u0430\u043b\u0430\u043c\u0438 \u0434\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u043e\u0431\u0445\u043e\u0434\u0438\u0442\u044c \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043a\u0443 \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u044b\u0445 C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432. <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/ak\/al\/2c\/akal2cumjvare-us0ljo0bs_rry.png\"><\/div>\n<p>  \u041c\u044b \u0440\u0430\u0437\u0434\u0435\u043b\u0438\u043b\u0438 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e \u043d\u0430 \u0447\u0435\u0442\u044b\u0440\u0435 \u044d\u0442\u0430\u043f\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u0442\u043b\u0438\u0447\u0430\u044e\u0442\u0441\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u043c\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c\u0438 (\u0442\u0438\u043f\u043e\u043c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e, \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430\u043c\u0438 \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0438 \u0442.\u043f.):<\/p>\n<ul>\n<li>\u041f\u0435\u0440\u0432\u0430\u044f \u0432\u043e\u043b\u043d\u0430: 19 \u0444\u0435\u0432\u0440\u0430\u043b\u044f \u2014 5 \u043c\u0430\u0440\u0442\u0430 2020 \u0433\u043e\u0434\u0430<\/li>\n<li>\u0412\u0442\u043e\u0440\u0430\u044f \u0432\u043e\u043b\u043d\u0430: 13 \u043c\u0430\u0440\u0442\u0430 \u2014 22 \u043c\u0430\u044f 2020 \u0433\u043e\u0434\u0430<\/li>\n<li>\u0422\u0440\u0435\u0442\u044c\u044f \u0432\u043e\u043b\u043d\u0430: 29 \u0438\u044e\u043d\u044f \u2014 2 \u0438\u044e\u043b\u044f 2020 \u0433\u043e\u0434\u0430<\/li>\n<li>\u0427\u0435\u0442\u0432\u0435\u0440\u0442\u0430\u044f \u0432\u043e\u043b\u043d\u0430: 24 \u0430\u0432\u0433\u0443\u0441\u0442\u0430 \u2014 12 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u044f 2020 \u0433\u043e\u0434\u0430<\/li>\n<\/ul>\n<p>  \u0411\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0434\u043e\u043c\u0435\u043d\u043e\u0432 \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0431\u044b\u043b\u0438 \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u0443 \u0434\u0432\u0443\u0445 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u0432 \u2014 Cloud2m \u0438 Host Africa. Cloud2m \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0432 \u0431\u043e\u043b\u0435\u0435 \u0440\u0430\u043d\u043d\u0438\u0445 \u0430\u0442\u0430\u043a\u0430\u0445. \u0412 \u0441\u0435\u0440\u0435\u0434\u0438\u043d\u0435 \u0438\u044e\u043b\u044f 2020 \u0433\u043e\u0434\u0430 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0437 \u044d\u0442\u0438\u0445 \u0434\u043e\u043c\u0435\u043d\u043e\u0432 \u043f\u0435\u0440\u0435\u0435\u0445\u0430\u043b\u0438 \u043d\u0430 Host Africa. <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/wk\/o8\/fk\/wko8fkwb67kne_uthabsnuxcabc.png\"><\/div>\n<p>  <i>\u0422\u0430\u0439\u043c\u043b\u0430\u0439\u043d \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0439 \u0445\u0430\u043a\u0435\u0440\u0441\u043a\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u044b FakeSecurity <\/i><\/p>\n<p>  \u041c\u044b \u043f\u0440\u0438\u0448\u043b\u0438 \u043a \u0432\u044b\u0432\u043e\u0434\u0443, \u0447\u0442\u043e \u0446\u0435\u043b\u044c\u044e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u043f\u043e \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e \u0441\u0442\u0438\u043b\u0435\u0440\u0430 \u0431\u044b\u043b\u0430 \u043a\u0440\u0430\u0436\u0430 \u043f\u043b\u0430\u0442\u0435\u0436\u043d\u044b\u0445 \u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0445 \u0434\u0430\u043d\u043d\u044b\u0445. \u0414\u043b\u044f \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0437\u0430\u0434\u0435\u0439\u0441\u0442\u0432\u043e\u0432\u0430\u043b\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0432\u0435\u043a\u0442\u043e\u0440\u043e\u0432 \u0430\u0442\u0430\u043a \u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432.<\/p>\n<p>  \u0422\u0430\u043a\u0436\u0435 \u043c\u044b \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b\u0438, \u0447\u0442\u043e \u043f\u0435\u0440\u0435\u0434 \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0435\u043c \u0441\u0442\u0438\u043b\u0435\u0440\u0430 Raccoon \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0432 \u043d\u0430\u0447\u0430\u043b\u0435 2020 \u0433\u043e\u0434\u0430 \u0440\u0430\u0431\u043e\u0442\u0430\u043b\u0438 \u0441 \u043e\u0431\u0440\u0430\u0437\u0446\u0430\u043c\u0438 \u0434\u0440\u0443\u0433\u043e\u0433\u043e \u0441\u0442\u0438\u043b\u0435\u0440\u0430 \u043f\u043e\u0434 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c Vidar. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043e\u043d\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u0430\u043c\u0438 \u0438 \u0444\u0435\u0439\u043a\u043e\u0432\u044b\u0435 \u0432\u0435\u0431-\u0441\u0442\u0440\u0430\u043d\u0438\u0446\u044b, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0435 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0444\u0438\u0448\u0438\u043d\u0433-\u043a\u0438\u0442\u0430 Mephistophilus. <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/a9\/at\/nm\/a9atnmtcksbt2ub0ianw5lbdgp0.png\"><\/div>\n<p>  <i>\u0421\u0445\u0435\u043c\u0430 \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u0436\u0435\u0440\u0442\u0432 \u0432 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 \u0445\u0430\u043a\u0435\u0440\u0441\u043a\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u044b FakeSecurity<\/i><\/p>\n<p>  \u0421\u0445\u0435\u043c\u0430 \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u043d\u0430\u043f\u043e\u043c\u043d\u0438\u043b\u0430 \u043d\u0430\u0448\u0438\u043c \u044d\u043a\u0441\u043f\u0435\u0440\u0442\u0430\u043c \u043f\u0430\u0442\u0442\u0435\u0440\u043d, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0430 FakeSecurity \u0432 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438, <a href=\"https:\/\/www.group-ib.com\/blog\/fakesecurity\">\u043e\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0439<\/a> \u0432 \u043d\u043e\u044f\u0431\u0440\u0435 2019 \u0433\u043e\u0434\u0430. \u041f\u043e\u043c\u0438\u043c\u043e \u0441\u0445\u043e\u0434\u0441\u0442\u0432 \u0432 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u0445 \u0434\u0432\u0443\u0445 \u0441\u0435\u0440\u0438\u0439 \u0430\u0442\u0430\u043a, \u043e\u043d\u0438 \u043e\u0431\u0435 \u0431\u044b\u043b\u0438 \u043d\u0430\u0446\u0435\u043b\u0435\u043d\u044b \u043d\u0430 e-commerce-\u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438. \u0422\u0430\u043a, \u0432 \u043c\u0430\u0435 2020-\u0433\u043e \u044d\u043a\u0441\u043f\u0435\u0440\u0442\u044b Group-IB \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043e\u043d\u043b\u0430\u0439\u043d-\u043c\u0430\u0433\u0430\u0437\u0438\u043d\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u044b\u043b\u0438 \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u044b \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u043e\u043c \u0438\u0437 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 FakeSecurity. JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440 \u0431\u044b\u043b \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 aaencode, \u0430 \u0434\u043b\u044f \u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u0434\u0430 \u0438 \u0441\u0431\u043e\u0440\u0430 \u0443\u043a\u0440\u0430\u0434\u0435\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u0430\u043d\u043a\u043e\u0432\u0441\u043a\u0438\u0445 \u043a\u0430\u0440\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0434\u043e\u043c\u0435\u043d\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u044b\u043b\u0438 \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u0432 \u043f\u0435\u0440\u0438\u043e\u0434 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u0432\u0442\u043e\u0440\u043e\u0439 \u0432\u043e\u043b\u043d\u044b \u0438 \u0443 \u0442\u0435\u0445 \u0436\u0435 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u0432, \u0447\u0442\u043e \u0438 \u0434\u043e\u043c\u0435\u043d\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0432 \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u043e\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0437\u0430 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0435\u0439 \u043f\u043e \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e \u0441\u0442\u0438\u043b\u0435\u0440\u043e\u0432, \u043a\u0430\u043a \u043c\u044b \u0441\u0447\u0438\u0442\u0430\u0435\u043c, \u0441\u0442\u043e\u044f\u0442 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0430 FakeSecurity.<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/cu\/ck\/5u\/cuck5u6zurmcufhpvxiach61y6i.png\"><\/div>\n<p>  <i>\u0414\u043e\u043c\u0435\u043d\u043d\u0430\u044f \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0439 FakeSecurity<br \/>  <\/i>  <\/p>\n<h2>\u041f\u0435\u0440\u0432\u0430\u044f \u0432\u043e\u043b\u043d\u0430<br \/>  <\/h2>\n<p>  \u041f\u0435\u0440\u0432\u0430\u044f \u0432\u043e\u043b\u043d\u0430 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u0434\u043e\u043c\u0435\u043d\u043e\u0432 \u043d\u0430\u0447\u0430\u043b\u0430\u0441\u044c \u0432 \u0437\u043e\u043d\u0435 <b>co.za<\/b> 19 \u0444\u0435\u0432\u0440\u0430\u043b\u044f 2020 \u0433\u043e\u0434\u0430. \u041f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0434\u043e\u043c\u0435\u043d\u044b \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u043b\u0438 \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u0441\u043b\u043e\u0432\u0430 <b>cloud<\/b>, <b>document<\/b> \u0438 <b>Microsoft<\/b>. \u041f\u0440\u0438\u043c\u0435\u0440\u044b \u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 \u043f\u0435\u0440\u0432\u0443\u044e \u0432\u043e\u043b\u043d\u0443:<\/p>\n<div class=\"scrollable-table\">\n<table>\n<tr>\n<td>msupdater[.]co.za<\/td>\n<td>2020-02-19<\/td>\n<\/tr>\n<tr>\n<td>documents-cloud-server[.]co.za<\/td>\n<td>2020-03-05<\/td>\n<\/tr>\n<tr>\n<td>cloudupdate[.]co.za<\/td>\n<td>2020-02-21<\/td>\n<\/tr>\n<\/table>\n<\/div>\n<p>  \u0412 \u0440\u0430\u043c\u043a\u0430\u0445 \u043f\u0435\u0440\u0432\u043e\u0439 \u0432\u043e\u043b\u043d\u044b \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u0433\u043e \u0432\u0435\u043a\u0442\u043e\u0440\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0440\u0430\u0441\u0441\u044b\u043b\u043a\u0438 \u0441 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u043c\u0438, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u043c\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u043c\u0430\u043a\u0440\u043e\u0441\u044b, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0444\u0435\u0439\u043a\u043e\u0432\u044b\u0435 \u0432\u0435\u0431-\u0441\u0442\u0440\u0430\u043d\u0438\u0446\u044b, \u0432\u0435\u0434\u0443\u0449\u0438\u0435 \u043d\u0430 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e.<\/p>\n<h3>\u0414\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u044b \u0441 \u043c\u0430\u043a\u0440\u043e\u0441\u0430\u043c\u0438<br \/>  <\/h3>\n<p>  \u0423\u0436\u0435 \u0441\u043f\u0443\u0441\u0442\u044f \u0434\u0435\u0432\u044f\u0442\u044c \u0434\u043d\u0435\u0439 \u043f\u043e\u0441\u043b\u0435 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u043f\u0435\u0440\u0432\u043e\u0433\u043e \u0434\u043e\u043c\u0435\u043d\u0430, 28 \u0444\u0435\u0432\u0440\u0430\u043b\u044f, \u043d\u0430 VirusTotal \u0447\u0435\u0440\u0435\u0437 \u0432\u0435\u0431-\u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u0438\u0437 \u0421\u0428\u0410 \u0431\u044b\u043b \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u0444\u0430\u0439\u043b <b>Bank001.xlsm<\/b> (SHA1: b1799345152f0f11a0a573b91093a1867d64e119): <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/jf\/ie\/0d\/jfie0dbh_bqq08cw-ralqactd8i.png\"><\/div>\n<p>  \u042d\u0442\u043e\u0442 \u0444\u0430\u0439\u043b \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u043e\u043c-\u043f\u0440\u0438\u043c\u0430\u043d\u043a\u043e\u0439 \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u0430\u043c\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0438 \u0438\u0445 \u0430\u043a\u0442\u0438\u0432\u0430\u0446\u0438\u0438 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0438\u0437 cloudupdate.co[.]za\/documents\/msofficeupdate.exe.<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/05\/1z\/vb\/051zvbn037slidjdb-ptnousan8.png\"><\/div>\n<p><i>\u0427\u0430\u0441\u0442\u0438\u0447\u043d\u043e \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0432 Base64 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043c\u0430\u043a\u0440\u043e\u0441 \u0433\u0440\u0443\u043f\u043f\u044b FakeSecurity<\/i><\/p>\n<p>  \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 <b>msofficeupdate.exe<\/b> (SHA1: f3498ba783b9c8c84d754af8a687d2ff189615d9). C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c \u0434\u0430\u043d\u043d\u043e\u0433\u043e \u043e\u0431\u0440\u0430\u0437\u0446\u0430 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f badlandsparks[.]com. \u042d\u0442\u043e\u0442 \u0434\u043e\u043c\u0435\u043d \u0431\u044b\u043b \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d 27 \u0444\u0435\u0432\u0440\u0430\u043b\u044f 2020 \u0433\u043e\u0434\u0430 \u0438 \u0441\u0432\u044f\u0437\u0430\u043d \u0441 IP-\u0430\u0434\u0440\u0435\u0441\u043e\u043c 185.244.149[.]100. \u0422\u043e\u043b\u044c\u043a\u043e \u043a \u044d\u0442\u043e\u043c\u0443 \u0434\u043e\u043c\u0435\u043d\u0443 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u044f\u0442 \u0441\u0435\u0442\u0435\u0432\u043e\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u0431\u043e\u043b\u0435\u0435 30 \u0444\u0430\u0439\u043b\u043e\u0432. <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/0m\/fc\/sd\/0mfcsd-z1g5sywk9aewevpt6n0c.png\"><\/div>\n<p><i>\u0421\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f c \u0434\u043e\u043c\u0435\u043d\u043e\u043c \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430, \u0432\u044b\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u0430\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 \u0433\u0440\u0430\u0444\u043e\u0432\u043e\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430 Group-IB Threat Intelligence &amp; Attribution<\/i><\/p>\n<p>  \u0421\u0440\u0435\u0434\u0438 \u0442\u0430\u043a\u0438\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0442 13b7afe8ee87977ae34734812482ca7efd62b9b6 \u0438 596a3cb4d82e6ab4d7223be640f614b0f7bd14af. \u042d\u0442\u0438 \u0444\u0430\u0439\u043b\u044b \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u044f\u0442 \u0441\u0435\u0442\u0435\u0432\u043e\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u043a gineuter[.]info, fastandprettycleaner[.]hk \u0438 \u043a badlandsparks[.]com. \u0421\u0443\u0434\u044f \u043f\u043e \u0437\u0430\u043f\u0440\u043e\u0441\u0430\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u043d\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u044e\u0442 \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a, \u0438 \u0434\u0430\u043d\u043d\u044b\u043c \u0438\u0437 \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0445 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u043e\u0432, \u0444\u0430\u0439\u043b <b>msofficeupdate.exe<\/b> \u0438 \u043f\u043e\u0434\u043e\u0431\u043d\u044b\u0435 \u0435\u043c\u0443 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043e\u0431\u0440\u0430\u0437\u0446\u0430\u043c\u0438 \u0441\u0442\u0438\u043b\u0435\u0440\u0430 <b>Vidar<\/b>. \u042d\u0442\u043e\u0442 \u0441\u0442\u0438\u043b\u0435\u0440 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0434\u043b\u044f \u043a\u0440\u0430\u0436\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438\u0437 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043e\u0432, \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u0438\u0441\u0442\u043e\u0440\u0438\u0438 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u043e\u0432 \u0432\u0435\u0431-\u0441\u0442\u0440\u0430\u043d\u0438\u0446 \u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0437\u0430\u043f\u0438\u0441\u0435\u0439, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u0430\u043d\u043a\u043e\u0432\u0441\u043a\u0438\u0445 \u043a\u0430\u0440\u0442, \u0444\u0430\u0439\u043b\u043e\u0432 \u043a\u0440\u0438\u043f\u0442\u043e-\u043a\u043e\u0448\u0435\u043b\u044c\u043a\u043e\u0432, \u043f\u0435\u0440\u0435\u043f\u0438\u0441\u043e\u043a \u0432 \u043c\u0435\u0441\u0441\u0435\u043d\u0434\u0436\u0435\u0440\u0430\u0445 \u0438 \u0442.\u0434. <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/ga\/yu\/4n\/gayu4nfxobkmhhbkqyl9xg95frg.png\"><\/div>\n<p><i>\u0410\u0434\u043c\u0438\u043d-\u043f\u0430\u043d\u0435\u043b\u044c \u0441\u0442\u0438\u043b\u0435\u0440\u0430 Vidar<\/i><\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/eo\/aw\/t5\/eoawt5i7_qibscv29vin9jo54xk.png\"><\/div>\n<p><i>\u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u043e\u0431\u0440\u0430\u0437\u0446\u0430 SHA1: 596a3cb4d82e6ab4d7223be640f614b0f7bd14af (\u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0433\u0440\u0430\u0444\u0430 Group-IB TI&amp;A) <\/i><\/p>\n<p>  \u0421\u043f\u0438\u0441\u043e\u043a \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u043d\u044b\u0445 \u0434\u043b\u044f Vidar HTTP-\u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0435\u0433\u043e \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u044b\u0439 \u043e\u0431\u0437\u043e\u0440 \u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d \u043f\u043e <a href=\"https:\/\/fumik0.com\/2018\/12\/24\/lets-dig-into-vidar-an-arkei-copycat-forked-stealer-in-depth-analysis\/\">\u0441\u0441\u044b\u043b\u043a\u0435<\/a>:<\/p>\n<p>  <code>\/ (i.e 162) &lt;- Config<br \/>  ip-api.com\/line\/ &lt;- Get Network Info<br \/>  \/msvcp140.dll &lt;- Required DLL<br \/>  \/nss3.dll &lt;- Required DLL<br \/>  \/softokn3.dll &lt;- Required DLL<br \/>  \/vcruntime140.dll &lt;- Required DLL<br \/>  \/ &lt;- Pushing Victim Archive to C2 <\/code><\/p>\n<p>  \u0424\u0430\u0439\u043b <b>BankStatement1.xlsm<\/b> (SHA1: c2f8d217877b1a28e4951286d3375212f8dc2335) \u0442\u0430\u043a\u0436\u0435 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u043e\u043c-\u043f\u0440\u0438\u043c\u0430\u043d\u043a\u043e\u0439 \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u0430\u043c\u0438 \u0438 \u043f\u0440\u0438 \u0438\u0445 \u0430\u043a\u0442\u0438\u0432\u0430\u0446\u0438\u0438 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0444\u0430\u0439\u043b \u0438\u0437 download-plugin[.]co.za\/documents\/msofficeupdate.exe. \u0417\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b SHA1: 430a406f2134b48908363e473dd6da11a172a7e1 \u0442\u0430\u043a\u0436\u0435 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441\u0442\u0438\u043b\u0435\u0440\u043e\u043c Vidar \u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0438\u0437: <\/p>\n<ul>\n<li>download-plugin.co[.]za\/documents\/msofficeupdate.exe<\/li>\n<li>msupdater.co[.]za\/documents\/msofficeupdate.exe<\/li>\n<li>cloudupdate.co[.]za\/documents\/msofficeupdate.exe<\/li>\n<\/ul>\n<p>  <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/1_\/gd\/kq\/1_gdkqjbrxry0da2r_dzpgptrde.png\"><\/div>\n<p><i>\u041f\u0440\u0438\u043c\u0435\u0440 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u0438 \u0444\u0430\u0439\u043b\u0430 430a406f2134b48908363e473dd6da11a172a7e1 \u0438\u0437 \u0440\u0430\u0437\u043d\u044b\u0445 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u043e\u0432<\/i><\/p>\n<h3>\u0424\u0438\u0448\u0438\u043d\u0433-\u043a\u0438\u0442 Mephistophilus<br \/>  <\/h3>\n<p>  \u0412\u0442\u043e\u0440\u044b\u043c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u043c \u0432\u0435\u043a\u0442\u043e\u0440\u043e\u043c \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u043f\u0435\u0440\u0432\u043e\u0439 \u0432\u043e\u043b\u043d\u044b \u0430\u0442\u0430\u043a \u0431\u044b\u043b\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0444\u0435\u0439\u043a\u043e\u0432\u044b\u0445 \u0432\u0435\u0431-\u0441\u0442\u0440\u0430\u043d\u0438\u0446 \u0434\u043b\u044f \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e.<\/p>\n<p>  \u0422\u0430\u043a, \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0435 \u0434\u043e\u043c\u0435\u043d\u044b msupdater[.]co.za, cloudupdate[.]co.za \u0438 documents-cloud-server[.]co.za \u0438\u043c\u0435\u043b\u0438 \u043e\u0434\u0438\u043d\u0430\u043a\u043e\u0432\u0443\u044e \u0410-\u0437\u0430\u043f\u0438\u0441\u044c \u2014 160.119.253[.]53 \u2014 \u0432 \u043e\u0434\u043d\u043e \u0438 \u0442\u043e \u0436\u0435 \u0432\u0440\u0435\u043c\u044f. \u0421\u0443\u0434\u044f \u043f\u043e \u0434\u0430\u043d\u043d\u044b\u043c \u0433\u0440\u0430\u0444\u043e\u0432\u043e\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430 Group-IB, \u043d\u0430 \u0441\u0430\u0439\u0442\u0435 documents-cloud-server[.]co.za \u043d\u0430\u0445\u043e\u0434\u0438\u043b\u0441\u044f \u0444\u0438\u0448\u0438\u043d\u0433-\u043a\u0438\u0442 Mephistophilus. <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/xc\/sn\/sw\/xcsnswanqkrf7cd2hupen4nfa1s.png\"><\/div>\n<p><i>\u0421\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0445 \u0434\u043e\u043c\u0435\u043d\u043e\u0432 (\u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0433\u0440\u0430\u0444\u0430 Group-IB TI&amp;A)<\/i><\/p>\n<p>  \u041c\u044b \u0443\u0436\u0435 \u043f\u0438\u0441\u0430\u043b\u0438 \u043f\u0440\u043e \u044d\u0442\u043e\u0442 \u0444\u0438\u0448\u0438\u043d\u0433-\u043a\u0438\u0442 \u0432 \u043d\u0430\u0448\u0435\u0439 <a href=\"https:\/\/habr.com\/ru\/company\/group-ib\/blog\/475264\/\">\u0441\u0442\u0430\u0442\u044c\u0435<\/a> \u043d\u0430 Habr. \u0421 \u0441\u0430\u043c\u043e\u0433\u043e \u043d\u0430\u0447\u0430\u043b\u0430 Mephistophilus \u043f\u043e\u0437\u0438\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043b\u0441\u044f \u043a\u0430\u043a \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u0434\u043b\u044f \u0446\u0435\u043b\u0435\u0432\u044b\u0445 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u0445 \u0430\u0442\u0430\u043a. \u042d\u0442\u043e\u0442 \u0444\u0438\u0448\u0438\u043d\u0433-\u043a\u0438\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0448\u0430\u0431\u043b\u043e\u043d\u043e\u0432 \u0444\u0435\u0439\u043a\u043e\u0432\u044b\u0445 \u0432\u0435\u0431-\u0441\u0442\u0440\u0430\u043d\u0438\u0446 \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0430\u0432\u043a\u0438 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438, \u0441\u0440\u0435\u0434\u0438 \u043a\u043e\u0442\u043e\u0440\u044b\u0445:<\/p>\n<ul>\n<li>\u043e\u043d\u043b\u0430\u0439\u043d-\u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0449\u0438\u043a \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u043e\u0432 Microsoft Office 365, Word \u0438\u043b\u0438 Excel<\/li>\n<li>\u043e\u043d\u043b\u0430\u0439\u043d-\u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0449\u0438\u043a PDF-\u0444\u0430\u0439\u043b\u043e\u0432<\/li>\n<li>\u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430-\u043a\u043b\u043e\u043d \u0441\u0435\u0440\u0432\u0438\u0441\u0430 YouTube<\/li>\n<\/ul>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/pu\/vj\/-b\/puvj-b-nbendeiwdonxv-2kmvre.png\"><\/div>\n<p>  <i>\u0410\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u0438\u0432\u043d\u0430\u044f \u043f\u0430\u043d\u0435\u043b\u044c Mephistophilus<br \/>  <\/i><\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/a4\/wy\/aj\/a4wyajsibmjbyuyuid5y2plneka.png\"><\/div>\n<p><i>\u0424\u0435\u0439\u043a\u043e\u0432\u043e\u0435 \u043e\u043a\u043d\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f Adobe Reader<\/i><\/p>\n<p>  \u041d\u0430 \u0434\u043e\u043c\u0435\u043d\u0435 documents-cloud-server[.]co.za \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432\u0435\u0431-\u0444\u0435\u0439\u043a, \u0438\u043c\u0438\u0442\u0438\u0440\u0443\u044e\u0449\u0438\u0439 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u043b\u0430\u0433\u0438\u043d\u0430 \u0434\u043b\u044f Adobe Reader. \u0427\u0442\u043e\u0431\u044b \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u0442\u044c \u0447\u0442\u0435\u043d\u0438\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430, \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u0441\u043a\u0430\u0447\u0430\u0442\u044c \u043f\u043b\u0430\u0433\u0438\u043d. \u041f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e \u043a\u0430\u043a \u0436\u0435\u0440\u0442\u0432\u0430 \u043a\u043b\u0438\u043a\u0430\u0435\u0442 Download plugin, \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442\u0441\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u043f\u043e \u0441\u0441\u044b\u043b\u043a\u0435 www[.]documents-cloud-server[.]co.za\/file_d\/adobe-reader-update-10.21.01.exe. <\/p>\n<pre><code class=\"python\">&lt;!DOCTYPE html&gt; &lt;html&gt; \t&lt;head&gt; \t\t&lt;title&gt;Statment00810012.pdf&lt;\/title&gt; \t\t&lt;link href=&quot;https:\/\/fonts.googleapis.com\/css?family=Roboto&quot; rel=&quot;stylesheet&quot;&gt; \t\t&lt;link rel=&quot;stylesheet&quot; href=&quot;http:\/\/www.documents-cloud-server[.]co.za\/view\/pdf_v3\/css\/style.css&quot;&gt; \t\t&lt;script type=&quot;text\/javascript&quot; src=&quot;http:\/\/www.documents-cloud-server \u00a0[.]co.za\/view\/pdf_v3\/js\/jquery.js&quot;&gt;&lt;\/script&gt; \t&lt;\/head&gt; \t&lt;body topmargin=&quot;0&quot; leftmargin=&quot;0&quot;&gt; \t\t \t\t \t\t \t\t&lt;div class=&quot;toolbar&quot;&gt;&lt;\/div&gt; \t\t \t\t&lt;div class=&quot;layer&quot;&gt; \t\t \t\t\t&lt;div class=&quot;tab&quot;&gt; \t\t\t\t&lt;table width=&quot;100%&quot; height=&quot;100%&quot; cellpadding=&quot;0&quot; cellspacing=&quot;0&quot;&gt; \t\t\t\t\t&lt;tr&gt; \t\t\t\t\t\t&lt;td class=&quot;tdo&quot; width=&quot;307&quot; valign=&quot;top&quot; align=&quot;center&quot;&gt; \t\t\t\t\t\t\t&lt;div class=&quot;logo&quot;&gt;&lt;\/div&gt; \t\t\t\t\t\t\t&lt;br&gt;&lt;br&gt;&lt;br&gt; \t\t\t\t\t\t\t&lt;div class=&quot;bottom-text&quot; align=&quot;center&quot;&gt; \t\t\t\t\t\t\t\tCopyright &copy; 2017 Adobe Systems&lt;br&gt; Software Ireland Ltd. &lt;br&gt;All rights reserved\t\t\t\t\t\t\t&lt;\/div&gt; \t\t\t\t\t\t&lt;\/td&gt; \t\t\t\t\t\t&lt;td class=&quot;tds&quot; width=&quot;493&quot; valign=&quot;top&quot; align=&quot;center&quot;&gt; \t\t\t\t\t\t\t&lt;h2&gt;Plugin update required&lt;\/h2&gt; \t\t\t\t\t\t\t&lt;span class=&quot;text&quot;&gt; \t\t\t\t\t\t\t\tThis document cannot be displayed correctly&lt;br&gt;You are using an older version of Adobe Reader PDF Plugin&lt;br&gt;for Google Chrome&lt;br&gt; \t\t\t\t\t\t\t&lt;\/span&gt; \t\t\t\t\t\t\t&lt;br&gt;&lt;br&gt;&lt;br&gt; \t\t\t\t\t\t\t&lt;a class=&quot;button&quot; data-url=&quot;http:\/\/www.documents-cloud-server[.]co.za\/file_d\/adobe-reader-update-10.21.01.exe&quot;&gt;Download plugin&lt;\/a&gt; \t\t\t\t\t\t\t&lt;br&gt;&lt;br&gt;&lt;br&gt;&lt;br&gt; \t\t\t\t\t\t\t&lt;div class=&quot;bottom-text&quot; align=&quot;center&quot;&gt; \t\t\t\t\t\t\t\t&lt;a href=&quot;https:\/\/www.adobe.com\/&quot; target=&quot;_blank&quot; class=&quot;link&quot;&gt;Adobe&lt;\/a&gt; \/ &lt;a href=&quot;https:\/\/www.adobe.com\/legal\/terms.html&quot; target=&quot;_blank&quot; class=&quot;link&quot;&gt;Terms of Use&lt;\/a&gt; \/ &lt;a href=&quot;https:\/\/www.adobe.com\/privacy.html&quot; target=&quot;_blank&quot; class=&quot;link&quot;&gt;Privacy&lt;\/a&gt; \t\t\t\t\t\t\t&lt;\/div&gt; \t\t\t\t\t\t&lt;\/td&gt; \t\t\t\t\t&lt;\/tr&gt; \t\t\t\t&lt;\/table&gt; \t\t\t&lt;\/div&gt; \t\t \t\t&lt;\/div&gt; \t\t \t\t&lt;script&gt; \t\t\tsetTimeout(function(){ \t\t\t\t \t\t\t\tvar width = $(window).width(); \t\t\t\tvar height = $(window).height(); \t\t\t\t$('.layer').show(); \t\t\t\t$('.layer').animate({'height':height}, 1000); \t\t\t\tsetTimeout(function(){ \t\t\t\t\t$('.tab').show(); \t\t\t\t},1200); \t\t\t\t \t\t\t},1800); \t\t\t$('.button').click(function(){ \t\t\t\t$.post(location.href, { \t\t\t\t\tdl:&quot;dlPDF2&quot;, \t\t\t\t\tcname:&quot;Statement00810011&quot; \t\t\t\t}); \t\t\t\tvar link = $(this).attr(&quot;data-url&quot;); \t\t\t\twindow.open(link); \t\t\t}); \t\t\t$(window).resize(function(){ \t\t\t\tvar width = $(window).width(); \t\t\t\tvar height = $(window).height(); \t\t\t\t$('.layer').css(&quot;width&quot;,width); \t\t\t\t$('.layer').css(&quot;height&quot;,height); \t\t\t}); \t\t&lt;\/script&gt; \t\t \t&lt;\/body&gt; &lt;\/html&gt;<\/code><\/pre>\n<p>  <i>\u0418\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u043e\u0439 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u044b<br \/>  <\/i><\/p>\n<p>  \u0424\u0430\u0439\u043b \u0441 \u0442\u0430\u043a\u0438\u043c \u0436\u0435 \u0438\u043c\u0435\u043d\u0435\u043c \u00abadobe-reader-update-10.21.01.exe\u00bb \u0432\u043f\u0435\u0440\u0432\u044b\u0435 \u0431\u044b\u043b \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d \u043d\u0430 VirusTotal 13 \u043c\u0430\u0440\u0442\u0430 2020 \u0433\u043e\u0434\u0430 \u0438 \u0431\u044b\u043b \u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u043f\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u0441\u0441\u044b\u043b\u043a\u0430\u043c:<\/p>\n<ul>\n<li>documents-cloud-server5[.]co.za\/file_d\/adobe-reader-update-10.21.01.exe<\/li>\n<li>documents-cloud-server1[.]co.za\/file_d\/adobe-reader-update-10.21.01.exe<\/li>\n<li>documents-cloud-server9[.]co.za\/file_d\/adobe-reader-update-10.21.01.exe<\/li>\n<li>documents-cloud-server8[.]co.za\/file_d\/adobe-reader-update-10.21.01.exe<\/li>\n<\/ul>\n<p>  <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/wg\/ap\/gb\/wgapgbmahvdhtv0ij7tr4kg_pqo.png\"><\/div>\n<p><i>\u041f\u0440\u0438\u043c\u0435\u0440 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u0438 \u0444\u0430\u0439\u043b\u0430 f33c1f0930231fe6f5d0f00978188857cbb0e90d \u0438\u0437 \u0440\u0430\u0437\u043d\u044b\u0445 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u043e\u0432<\/i><\/p>\n<p>  \u0414\u0440\u0443\u0433\u043e\u0439 \u0444\u0430\u0439\u043b \u2014 <b>msofficeupdater.exe<\/b> (SHA1: bdfefdff7b755a89d60de22309da72b82df70ecb) \u2014 \u0431\u044b\u043b \u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d \u043f\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043f\u0443\u0442\u044f\u043c:<\/p>\n<ul>\n<li>documents-cloud-server7[.]co.za\/doc\/msofficeupdater.exe<\/li>\n<li>documents-cloud-server5[.]co.za\/doc\/msofficeupdater.exe<\/li>\n<li>documents-cloud-server7[.]co.za\/doc\/msofficeupdater.exe<\/li>\n<li>documents-cloud-server6[.]co.za\/doc\/msofficeupdater.exe<\/li>\n<li>documents-cloud-server1[.]co.za\/doc\/msofficeupdater.exe<\/li>\n<li>documents-cloud-server6[.]co.za\/doc\/msofficeupdater.exe<\/li>\n<li>documents-cloud-server5[.]co.za\/doc\/msofficeupdater.exe<\/li>\n<li>documents-cloud-server1[.]co.za\/doc\/msofficeupdater.exe<\/li>\n<\/ul>\n<p>  <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/kz\/jo\/x_\/kzjox_jpgpq6c-6hes-tag-lak4.png\"><\/div>\n<p><i>\u041f\u0440\u0438\u043c\u0435\u0440 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u0438 \u0444\u0430\u0439\u043b\u0430 bdfefdff7b755a89d60de22309da72b82df70ecb \u0438\u0437 \u0440\u0430\u0437\u043d\u044b\u0445 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u043e\u0432<\/i><\/p>\n<h2>\u0412\u0442\u043e\u0440\u0430\u044f \u0432\u043e\u043b\u043d\u0430<br \/>  <\/h2>\n<p>  \u0414\u043e\u043c\u0435\u043d\u044b, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 \u0444\u0430\u0439\u043b\u043e\u043c SHA1: bdfefdff7b755a89d60de22309da72b82df70ecb, \u0432\u044b\u0432\u0435\u043b\u0438 \u043d\u0430\u0441 \u043d\u0430 \u0435\u0449\u0435 \u043e\u0434\u043d\u0443 \u0433\u0440\u0443\u043f\u043f\u0443 \u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u043e\u0442\u043d\u043e\u0441\u044f\u0449\u0438\u0445\u0441\u044f \u043a \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432. \u042d\u0442\u0438 \u0434\u043e\u043c\u0435\u043d\u044b \u0431\u044b\u043b\u0438 \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u0432 \u0434\u0432\u0430 \u044d\u0442\u0430\u043f\u0430: \u043f\u0435\u0440\u0432\u0430\u044f \u0433\u0440\u0443\u043f\u043f\u0430 \u2014 13 \u043c\u0430\u0440\u0442\u0430 2020 \u0433\u043e\u0434\u0430, \u0432\u0442\u043e\u0440\u0430\u044f \u2014 22 \u043c\u0430\u044f 2020 \u0433\u043e\u0434\u0430. <\/p>\n<p>  \u041f\u0440\u0438\u043c\u0435\u0440\u044b \u0434\u043e\u043c\u0435\u043d\u043e\u0432 \u0432\u0442\u043e\u0440\u043e\u0439 \u0432\u043e\u043b\u043d\u044b:<\/p>\n<div class=\"scrollable-table\">\n<table>\n<tr>\n<th>1 \u0433\u0440\u0443\u043f\u043f\u0430<\/th>\n<th>2 \u0433\u0440\u0443\u043f\u043f\u0430<\/th>\n<\/tr>\n<tr>\n<td>cloud-server-updater[.]co.za<\/td>\n<td>cloud-server-updater17[.]co.za<\/td>\n<\/tr>\n<tr>\n<td>cloud-server-updater1[.]co.za<\/td>\n<td>cloud-server-updater18[.]co.za<\/td>\n<\/tr>\n<tr>\n<td>cloud-server-updater15[.]co.za<\/td>\n<td>cloud-server-updater27[.]co.za<\/td>\n<\/tr>\n<tr>\n<td>cloud-server-updater16[.]co.za<\/td>\n<td>cloud-server-updater28[.]co.za<\/td>\n<\/tr>\n<\/table>\n<\/div>\n<p>  \u042d\u0442\u0438 \u0434\u043e\u043c\u0435\u043d\u044b \u0431\u044b\u043b\u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u044b \u0434\u043b\u044f \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0441\u0442\u0438\u043b\u0435\u0440\u0430 Raccoon. \u0427\u0442\u043e\u0431\u044b \u0441\u0432\u044f\u0437\u0430\u0442\u044c \u0434\u0430\u043d\u043d\u044b\u0435 \u0433\u0440\u0443\u043f\u043f\u044b \u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u043c\u043e\u0436\u043d\u043e \u0432\u0437\u0433\u043b\u044f\u043d\u0443\u0442\u044c \u043d\u0430 \u0444\u0430\u0439\u043b\u044b SHA1: b326f9a6d6087f10ef3a9f554a874243f000549d \u0438 SHA1: F2B2F74F4572BF8BD2D948B34147FFE303F92A0F. \u042d\u0442\u0438 \u0444\u0430\u0439\u043b\u044b \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 \u0440\u0430\u0431\u043e\u0442\u044b \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u044e\u0442 \u0441\u0435\u0442\u0435\u0432\u043e\u0435 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0441\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c\u0438 \u0440\u0435\u0441\u0443\u0440\u0441\u0430\u043c\u0438:<\/p>\n<ul>\n<li>cloudupdates[.]co.za<\/li>\n<li>cloud-server-updater2[.]co.za<\/li>\n<li>cloud-server-updater19[.]co.za<\/li>\n<\/ul>\n<p>  <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/nn\/g-\/ob\/nng-ob14mjwp8tcn9h2bqbzceme.png\"><\/div>\n<p><i>\u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 b326f9a6d6087f10ef3a9f554a874243f000549d (\u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0433\u0440\u0430\u0444\u0430 Group-IB TI&amp;A)<\/i><\/p>\n<p>  C \u0434\u043e\u043c\u0435\u043d\u043e\u043c cloudupdates[.]co.za \u0441\u0432\u044f\u0437\u0430\u043d\u043e \u043f\u043e\u0440\u044f\u0434\u043a\u0430 50 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u0437 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0445 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u043e\u0432. \u0418\u0445 \u043f\u0435\u0440\u0432\u044b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0434\u0430\u0442\u0438\u0440\u0443\u044e\u0442\u0441\u044f 30 \u0430\u043f\u0440\u0435\u043b\u044f 2020 \u0433\u043e\u0434\u0430, \u0430 \u0441\u0430\u043c \u0434\u043e\u043c\u0435\u043d \u043f\u043e\u0445\u043e\u0436 \u043d\u0430 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u044b\u0439 \u0440\u0430\u043d\u0435\u0435 cloudupdate.co[.]za. \u041a\u0440\u043e\u043c\u0435 \u0441\u0445\u043e\u0436\u0435\u0433\u043e \u0438\u043c\u0435\u043d\u0438 \u0434\u043e\u043c\u0435\u043d\u0430, \u043e\u043d \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d \u0447\u0435\u0440\u0435\u0437 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 cloud2m, \u0430 \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 NS-\u0437\u0430\u043f\u0438\u0441\u0435\u0439 \u0443 \u043d\u0435\u0433\u043e \u0443\u043a\u0430\u0437\u0430\u043d\u044b ns1.host-ww.net \u0438 ns2.host-ww.net \u0442\u0430\u043a \u0436\u0435, \u043a\u0430\u043a \u0438 \u0443 msupdater[.]co.za \u0438 cloudupdate[.]co.za.<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/n0\/ul\/gj\/n0ulgj_50nqxd0glxupctgsubdm.png\"><\/div>\n<p><i>\u0414\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 WHOIS-\u0437\u0430\u043f\u0438\u0441\u0435\u0439 \u0442\u0440\u0451\u0445 \u0434\u043e\u043c\u0435\u043d\u043e\u0432<\/i><\/p>\n<p>  \u0421\u043e \u0432\u0441\u0435\u043c\u0438 \u0434\u043e\u043c\u0435\u043d\u0430\u043c\u0438 \u0432\u0442\u043e\u0440\u043e\u0439 \u0432\u043e\u043b\u043d\u044b \u0441\u0432\u044f\u0437\u0430\u043d\u043e \u043f\u043e\u0440\u044f\u0434\u043a\u0430 300 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438\u0437 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0445 \u043f\u0435\u0441\u043e\u0447\u043d\u0438\u0446. \u0412\u0441\u0435 \u044d\u0442\u0438 \u0444\u0430\u0439\u043b\u044b \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u043c\u0438-\u043f\u0440\u0438\u043c\u0430\u043d\u043a\u0430\u043c\u0438, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u043c\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u043c\u0430\u043a\u0440\u043e\u0441\u044b, \u0441 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u044f\u043c\u0438 <b>MyBankStatement_2436.xlsm<\/b>, <b>MyBankStatement_3269.xlsm<\/b>, <b>MyBankStatement_5763.xlsm<\/b> \u0438 \u0442.\u043f.<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/fc\/4x\/rj\/fc4xrjjraamnxtt5verroh68x80.png\"><\/div>\n<p><i>\u041e\u0431\u0440\u0430\u0437\u0435\u0446 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430-\u043f\u0440\u0438\u043c\u0430\u043d\u043a\u0438 6685955C5F006C2D83A92952EB5EB3FB9598C783<\/i><\/p>\n<p>  \u041e\u0434\u0438\u043d \u0438\u0437 \u0442\u0430\u043a\u0438\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u2014 <b>MyBank_5710.xlsm<\/b> (SHA1: 6685955C5F006C2D83A92952EB5EB3FB9598C783). \u041f\u043e\u0441\u043b\u0435 \u0430\u043a\u0442\u0438\u0432\u0430\u0446\u0438\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u0432 \u0432 \u044d\u0442\u043e\u043c \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u043b\u0430 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0444\u0430\u0439\u043b\u0430 \u0438\u0437 cloud-server-updater22[.]co.za\/doc\/officebuilder. \u0417\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b c SHA1: 3657CF5F2142C7E30F72E231E87518B82710DC1C \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441\u0442\u0438\u043b\u0435\u0440\u043e\u043c Raccoon. \u041e\u043d \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u043a \u0441\u0432\u043e\u0435\u043c\u0443 C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u0443 (35.228.95[.]80) \u0434\u043b\u044f \u044d\u043a\u0441\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 Google \u0434\u043b\u044f \u043f\u0440\u0438\u0434\u0430\u043d\u0438\u044f \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u043e\u0441\u0442\u0438 \u0437\u0430\u043f\u0440\u043e\u0441\u0430\u043c. \u0412 \u0441\u0432\u043e\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c Raccoon \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442 \u0441\u0435\u0442\u0435\u0432\u043e\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043a cloud-server-updater1[.]co.za\/doc\/officeupdate.exe \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 RAT AveMaria (SHA1: a10925364347bde843a1d4105dddf4a4eb88c746), C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d \u043d\u0430 IP-\u0430\u0434\u0440\u0435\u0441\u0435 102.130.118[.]152.<\/p>\n<p>  AveMaria RAT \u2014 \u044d\u0442\u043e \u0442\u0440\u043e\u044f\u043d \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u044b\u043b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d \u0432 \u043a\u043e\u043d\u0446\u0435 2018 \u0433\u043e\u0434\u0430, \u043a\u043e\u0433\u0434\u0430 \u043e\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0434\u043b\u044f \u0430\u0442\u0430\u043a \u043d\u0430 \u0438\u0442\u0430\u043b\u044c\u044f\u043d\u0441\u043a\u0443\u044e \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044e, \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0443\u044e \u0432 \u043d\u0435\u0444\u0442\u0435\u0433\u0430\u0437\u043e\u0432\u043e\u043c \u0441\u0435\u043a\u0442\u043e\u0440\u0435. \u0424\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0434\u0430\u043d\u043d\u043e\u0433\u043e RAT:<\/p>\n<ul>\n<li>\u041f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439, \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 \u043e\u0442 Windows 7 \u0434\u043e Windows 10;<\/li>\n<li>\u041f\u0435\u0440\u0441\u0438\u0441\u0442\u0435\u043d\u0442\u043d\u043e\u0441\u0442\u044c;<\/li>\n<li>\u0418\u043d\u0436\u0435\u043a\u0442 \u043a\u043e\u0434\u0430;<\/li>\n<li>\u041a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440;<\/li>\n<li>\u0414\u043e\u0441\u0442\u0443\u043f \u043a \u043a\u0430\u043c\u0435\u0440\u0435;<\/li>\n<li>\u0423\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u043c\u0438;<\/li>\n<li>\u0423\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430\u043c\u0438: \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435, \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430, \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u0435, \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u0435;<\/li>\n<li>RDP \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c rdpwrap;<\/li>\n<li>\u0424\u0443\u043d\u043a\u0446\u0438\u044f \u0438\u043d\u0444\u043e\u0441\u0442\u0438\u043b\u0435\u0440\u0430:<\/li>\n<\/ul>\n<p>  <\/p>\n<ol>\n<li>Google Chrome;<\/li>\n<li>Firefox;<\/li>\n<li>Internet Explore;<\/li>\n<li>Outlook;<\/li>\n<li>Thunderbird;<\/li>\n<li>Foxmail.<\/li>\n<\/ol>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/f_\/sq\/yv\/f_sqyvmwbu72k7ktojylu8vwe-m.png\"><\/div>\n<p><i>\u041f\u043e\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u0430 6685955C5F006C2D83A92952EB5EB3FB9598C783<\/i><\/p>\n<p>  \u0412\u043e \u0432\u0440\u0435\u043c\u044f \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f Raccoon \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0441\u0435\u0442\u0435\u0432\u044b\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u044b:<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/q9\/qr\/bk\/q9qrbkiawdbk_hpn5squ4ogqlpm.png\"><\/div>\n<p><i>\u0421\u0435\u0442\u0435\u0432\u044b\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u044b \u0444\u0430\u0439\u043b\u0430 3657CF5F2142C7E30F72E231E87518B82710DC1C<\/i><\/p>\n<p>  \u0421\u0440\u0435\u0434\u0438 \u044d\u0442\u0438\u0445 \u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043a Telegram-\u043a\u0430\u043d\u0430\u043b\u0443 \u0441 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c <b>blintick<\/b>. <\/p>\n<p>  \u0421\u043e\u0437\u0434\u0430\u0442\u0435\u043b\u0438 Raccoon \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 Telegram \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043e\u043a C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432. \u0422\u0430\u043a, \u0441\u0442\u0438\u043b\u0435\u0440 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0437\u0430\u043f\u0440\u043e\u0441 \u043a Telegram-\u043a\u0430\u043d\u0430\u043b\u0443, \u0438\u0437 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0430\u0434\u0440\u0435\u0441 \u043d\u043e\u0432\u043e\u0433\u043e C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u0430. \u041f\u0435\u0440\u0432\u044b\u0435 \u043e\u0431\u0440\u0430\u0437\u0446\u044b, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u0435 \u044d\u0442\u0443 \u0442\u0435\u0445\u043d\u0438\u043a\u0443, \u043d\u0430\u0447\u0430\u043b\u0438 \u043f\u043e\u044f\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u043d\u0430 VirusTotal \u0443\u0436\u0435 \u0432 \u043a\u043e\u043d\u0446\u0435 \u043c\u0430\u044f 2020 \u0433\u043e\u0434\u0430. <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/mi\/0f\/z8\/mi0fz80lwxw_num1prsvhmfhfc0.png\"><\/div>\n<p><i>\u0421\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 \u0430\u0432\u0442\u043e\u0440\u043e\u0432 \u0441\u0442\u0438\u043b\u0435\u0440\u0430 Raccoon<\/i><\/p>\n<p>  Telegram-\u043a\u0430\u043d\u0430\u043b <b>blintick<\/b> \u0438 \u0435\u0433\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435:<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/g7\/-l\/hi\/g7-lhikwsdtxz2pxb-ux8ojjpvg.png\"><\/div>\n<p>  \u041d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0441\u0442\u0438\u043b\u0435\u0440 Raccoon \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u0435\u0442\u0441\u044f \u043f\u043e \u043c\u043e\u0434\u0435\u043b\u0438 MaaS, \u0432\u0441\u0435 \u0444\u0430\u0439\u043b\u044b, \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u0435\u043c\u044b\u0435 \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u0432\u0442\u043e\u0440\u043e\u0439 \u0432\u043e\u043b\u043d\u044b, \u043e\u0431\u0440\u0430\u0449\u0430\u043b\u0438\u0441\u044c \u043a \u043e\u0434\u043d\u043e\u043c\u0443 \u0438 \u0442\u043e\u043c\u0443 \u0436\u0435 Telegram-\u043a\u0430\u043d\u0430\u043b\u0443. \u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u044c, \u0447\u0442\u043e \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u044b \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u0430\u043c\u0438, \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0432\u0448\u0438\u043c\u0438 Raccoon, \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u043b\u0438\u0441\u044c \u043e\u0434\u043d\u043e\u0439 \u0438 \u0442\u043e\u0439 \u0436\u0435 \u0433\u0440\u0443\u043f\u043f\u043e\u0439.<\/p>\n<h2>\u0422\u0440\u0435\u0442\u044c\u044f \u0432\u043e\u043b\u043d\u0430<br \/>  <\/h2>\n<p>  29 \u0438\u044e\u043d\u044f 2020 \u0433\u043e\u0434\u0430 \u043d\u0430\u0447\u0430\u043b\u0430\u0441\u044c \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u044f \u0434\u043e\u043c\u0435\u043d\u043e\u0432 \u0442\u0440\u0435\u0442\u044c\u0435\u0439 \u0432\u043e\u043b\u043d\u044b:<\/p>\n<ul>\n<li>microsoft-cloud1[.]co.za<\/li>\n<li>microsoft-cloud6[.]co.za<\/li>\n<li>microsoft-cloud7[.]co.za<\/li>\n<li>microsoft-cloud8[.]co.za<\/li>\n<li>microsoft-cloud9[.]co.za<\/li>\n<li>microsoft-cloud10[.]co.za<\/li>\n<li>microsoft-cloud11[.]co.za<\/li>\n<li>microsoft-cloud12[.]co.za<\/li>\n<li>microsoft-cloud13[.]co.za<\/li>\n<li>microsoft-cloud14[.]co.za<\/li>\n<li>microsoft-cloud15[.]co.za<\/li>\n<\/ul>\n<p>  \u0412\u0441\u0435 \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0434\u043e\u043c\u0435\u043d\u044b \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u043b\u0438 \u043d\u0430 IP-\u0430\u0434\u0440\u0435\u0441 102.130.112[.]195. \u041f\u0435\u0440\u0432\u044b\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 \u044d\u0442\u043e\u0439 \u0432\u043e\u043b\u043d\u043e\u0439, \u043d\u0430\u0447\u0430\u043b\u0438 \u043f\u043e\u044f\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u0432 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0445 \u043f\u0435\u0441\u043e\u0447\u043d\u0438\u0446\u0430\u0445 \u0443\u0436\u0435 2 \u0438\u044e\u043b\u044f 2020 \u0433\u043e\u0434\u0430. \u041d\u0430\u0437\u0432\u0430\u043d\u0438\u044f \u044d\u0442\u0438\u0445 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u043e\u0432-\u043f\u0440\u0438\u043c\u0430\u043d\u043e\u043a \u043f\u043e\u0447\u0442\u0438 \u043d\u0438\u0447\u0435\u043c \u043d\u0435 \u043e\u0442\u043b\u0438\u0447\u0430\u044e\u0442\u0441\u044f \u043e\u0442 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u043e\u0432, \u0440\u0430\u0441\u0441\u044b\u043b\u0430\u0435\u043c\u044b\u0445 \u0432 \u043f\u0440\u043e\u0448\u043b\u043e\u043c: <b>BankStatement0109_13169.xlsm<\/b>, <b>My_Statement_4211.xlsm<\/b> \u0438 \u0442.\u0434. \u0421 \u0432\u044b\u0448\u0435\u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u044b\u043c\u0438 \u0434\u043e\u043c\u0435\u043d\u0430\u043c\u0438, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0441 \u0434\u043e\u043c\u0435\u043d\u043e\u043c cloud-server-updater1[.]co.za \u0441\u0432\u044f\u0437\u0430\u043d\u043e \u043f\u043e\u0440\u044f\u0434\u043a\u0430 30 \u0444\u0430\u0439\u043b\u043e\u0432:<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/mt\/ha\/ab\/mthaabd0hv88d58uvqy3r_a9aaa.png\"><\/div>\n<p><i>\u0421\u0435\u0442\u0435\u0432\u0430\u044f \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430. \u0421\u0432\u044f\u0437\u044c \u0444\u0430\u0439\u043b\u043e\u0432 \u0441 \u0434\u043e\u043c\u0435\u043d\u0430\u043c\u0438 \u0434\u0432\u0443\u0445 \u0432\u043e\u043b\u043d<\/i><\/p>\n<p>  \u0414\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u044b-\u043f\u0440\u0438\u043c\u0430\u043d\u043a\u0438 \u044d\u0442\u043e\u0439 \u0432\u043e\u043b\u043d\u044b \u0432\u044b\u0433\u043b\u044f\u0434\u044f\u0442 \u0438\u0434\u0435\u043d\u0442\u0438\u0447\u043d\u043e \u043f\u0440\u043e\u0448\u043b\u044b\u043c \u0438, \u0441\u0443\u0434\u044f \u043f\u043e \u0438\u0445 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044e \u043f\u043e\u0441\u043b\u0435 \u0430\u043a\u0442\u0438\u0432\u0430\u0446\u0438\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u0432, \u0431\u044b\u043b\u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u044b \u043e\u0434\u043d\u0438\u043c \u0438 \u0442\u0435\u043c \u0436\u0435 \u0431\u0438\u043b\u0434\u0435\u0440\u043e\u043c. \u0422\u0430\u043a\u0438\u0435 \u0431\u0438\u043b\u0434\u0435\u0440\u044b \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043e\u0444\u0438\u0441\u043d\u044b\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u044b \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u0430\u043c\u0438 \u043f\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u043c \u0448\u0430\u0431\u043b\u043e\u043d\u0430\u043c, \u0447\u0442\u043e \u043f\u043e\u043c\u043e\u0433\u0430\u0435\u0442 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u043c \u0433\u043e\u0440\u0430\u0437\u0434\u043e \u0431\u044b\u0441\u0442\u0440\u0435\u0435 \u0438 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u0435\u0435 \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u0442\u044c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b.<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/nf\/ip\/jr\/nfipjrg-l-jtybdo-y0end5gyyw.png\"><\/div>\n<p><i>\u041f\u0440\u0438\u043c\u0435\u0440 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430-\u043f\u0440\u0438\u043c\u0430\u043d\u043a\u0438 618C894C06633E3D7ADD228531F6E775A180A7F7<\/i><\/p>\n<p>  \u041e\u0434\u0438\u043d \u0438\u0437 \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u043c\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432, <b>My_Statement_1953.xlsm<\/b> (SHA1: 618C894C06633E3D7ADD228531F6E775A180A7F7), \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0430\u043a\u0442\u0438\u0432\u0430\u0446\u0438\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u0432 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0437\u0430\u043f\u0440\u043e\u0441 \u043a \u0441\u0435\u0440\u0432\u0435\u0440\u0443 \u0434\u043b\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0444\u0430\u0439\u043b\u0430 \u0438\u0437 microsoft-cloud13[.]co.za\/msofficeupdate.exe. \u0414\u0430\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0442\u0430\u043a\u0436\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 \u0441\u0442\u0438\u043b\u0435\u0440 Raccoon. \u0424\u0430\u0439\u043b \u0441\u0442\u0438\u043b\u0435\u0440\u0430 (SHA1: 6639081791A8909F042E4A4197DF7051382B04E5) \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u0441\u0435\u0440\u0438\u044e \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u043d\u0430 \u0441\u0432\u043e\u0439 C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440 35.198.88[.]195, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c \u0444\u0430\u0439\u043b \u0438\u0437 cloud-server-updater1[.]co.za\/doc\/officeupdate.exe, \u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0432 \u043e\u0442\u0432\u0435\u0442 \u043e\u0448\u0438\u0431\u043a\u0443 302 \u0438 \u0440\u0435\u0434\u0438\u0440\u0435\u043a\u0442 \u043d\u0430 cloud-server-updater1[.]co.za\/cgi-sys\/suspendedpage.cgi \u0432\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u0435 \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043a\u0438 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0434\u043e\u043c\u0435\u043d\u0430. \u041f\u043e \u0432\u0441\u0435\u0439 \u0432\u0438\u0434\u0438\u043c\u043e\u0441\u0442\u0438, \u0434\u0430\u043d\u043d\u044b\u0439 \u043e\u0431\u0440\u0430\u0437\u0435\u0446 \u043f\u044b\u0442\u0430\u043b\u0441\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c RAT AVEMARIA, \u043a\u0430\u043a \u0438 \u0432 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u0439 \u0432\u043e\u043b\u043d\u0435. \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u0432\u0441\u0435 \u0444\u0430\u0439\u043b\u044b \u0434\u0430\u043d\u043d\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u043b\u0438 \u0441\u0435\u0442\u0435\u0432\u044b\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u044b \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u0438 \u043a \u0432\u044b\u0448\u0435\u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u043e\u043c\u0443 Telegram-\u043a\u0430\u043d\u0430\u043b\u0443 <b>telete.in\/blintick<\/b>. <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" width=\"500\" src=\"https:\/\/habrastorage.org\/webt\/ct\/ed\/3a\/cted3abxwzyldwxrgy11w07lbbc.png\"><\/div>\n<p><i>\u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 Raccoon \u0441\u0442\u0438\u043b\u0435\u0440\u0430 6639081791A8909F042E4A4197DF7051382B04E5 (\u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0433\u0440\u0430\u0444\u0430 Group-IB TI&amp;A)<br \/>  <\/i>  <\/p>\n<h3>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u043e\u0432<br \/>  <\/h3>\n<p>  \u0412 \u0434\u0430\u043d\u043d\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0442\u0430\u043a\u0436\u0435 \u044d\u043a\u0441\u043f\u0435\u0440\u0438\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043b\u0438 \u0441 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u043c\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430\u043c\u0438. \u0412 \u0445\u043e\u0434\u0435 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0438 Buer \u0438 Smoke. <\/p>\n<p>  30 \u0430\u043f\u0440\u0435\u043b\u044f 2020 \u0433\u043e\u0434\u0430 \u043d\u0430 VirusTotal \u0431\u044b\u043b \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d xls-\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 (SHA1: 6c6680659b09d18ccab0f933daf5bf1910168b1a). \u0412\u043e \u0432\u0440\u0435\u043c\u044f \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u043e\u043d \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0438\u0437 cloud-server-updater2.co[.]za\/doc\/buer.exe.<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/sv\/wi\/vc\/svwivcpss3mhcdba95j2sa3sfai.png\"><\/div>\n<p><i>\u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 SHA1:6c6680659b09d18ccab0f933daf5bf1910168b1a (\u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0433\u0440\u0430\u0444\u0430 Group-IB TI&amp;A)<\/i><br \/>  \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u044d\u0442\u0438 \u0444\u0430\u0439\u043b\u044b \u0431\u044b\u043b\u0438 \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u044b \u0438 \u043d\u0430 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0439 \u0440\u0435\u0441\u0443\u0440\u0441 bazaar.abuse.ch. <\/p>\n<p>  \u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u0438 \u043f\u0440\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0435 \u0442\u0435\u0433\u0438 \u043e\u0442\u043d\u043e\u0441\u044f\u0442 \u043d\u0430\u0441 \u043a Buer Loader: bazaar.abuse.ch\/sample\/bc96c38e3f85c43923a37f57c096eb5b3913b516dbcb11b46cb9cfd0c1d167ce\/.<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/nu\/h0\/cf\/nuh0cfqly8l9aqkyybmyxysbf3w.png\"><\/div>\n<p><i>\u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 SHA1:7b1a5d9bb21d852a6dbf3146fabb1cd1ca276ed9 <br \/>  (\u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0433\u0440\u0430\u0444\u0430 Group-IB TI&amp;A)<\/i> <br \/>  \u0412 \u0445\u043e\u0434\u0435 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432 \u043c\u044b \u0432\u044b\u044f\u0432\u0438\u043b\u0438 \u0433\u0440\u0443\u043f\u043f\u0443 \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0445 \u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0431\u044b\u043b\u0430 \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u0430 \u0432 \u043f\u0435\u0440\u0438\u043e\u0434 \u0441 24 \u0430\u0432\u0433\u0443\u0441\u0442\u0430 \u043f\u043e 12 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u044f 2020 \u0433\u043e\u0434\u0430. \u041f\u0440\u0438\u043c\u0435\u0440 \u0442\u0430\u043a\u0438\u0445 \u0434\u043e\u043c\u0435\u043d\u043e\u0432:<\/p>\n<div class=\"scrollable-table\">\n<table>\n<tr>\n<th>Domain name<\/th>\n<th>Data <\/th>\n<th>IP-address<\/th>\n<\/tr>\n<tr>\n<td>code-cloud[1-6][.]co.za<\/td>\n<td>24.08.2020<\/td>\n<td>102.130.115.44<\/td>\n<\/tr>\n<tr>\n<td>google-document[.]co.za<\/td>\n<td>24.08.2020<\/td>\n<td>102.130.115.44<\/td>\n<\/tr>\n<tr>\n<td>azure-cloud[1-4][.]co.za<\/td>\n<td>4.09.2020<\/td>\n<td>102.130.119.232<\/td>\n<\/tr>\n<tr>\n<td>azure-cloud[1-3].web.za<\/td>\n<td>4.09.2020<\/td>\n<td>102.130.119.232<\/td>\n<\/tr>\n<tr>\n<td>Updateadobeonline[.]co.za<\/td>\n<td>8.09.2020<\/td>\n<td>102.130.115.44<\/td>\n<\/tr>\n<tr>\n<td>Updateforadobenew[.]co.za<\/td>\n<td>9.09.2020<\/td>\n<td>102.130.118.209<\/td>\n<\/tr>\n<tr>\n<td>Oneupdateadobe[1-4][.]co.za<\/td>\n<td>9.09.2020<\/td>\n<td>102.130.118.209<\/td>\n<\/tr>\n<tr>\n<td>Updateadobe[.]co.za<\/td>\n<td>12.09.2020<\/td>\n<td>102.130.121.74<\/td>\n<\/tr>\n<\/table>\n<\/div>\n<p>  <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/t9\/75\/ha\/t975hawdkq342zs6jfyblithfxk.png\"><\/div>\n<p><i>\u0421\u0445\u043e\u0436\u0438\u0435 WHOIS-\u0437\u0430\u043f\u0438\u0441\u0438 \u0434\u043e\u043c\u0435\u043d\u043e\u0432<\/i><\/p>\n<p>  WHOIS-\u0437\u0430\u043f\u0438\u0441\u0438 \u044d\u0442\u0438\u0445 \u0434\u043e\u043c\u0435\u043d\u043e\u0432 \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u044e\u0442 \u0441 WHOIS-\u0437\u0430\u043f\u0438\u0441\u044f\u043c\u0438 \u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u0440\u0430\u043d\u0435\u0435 \u0437\u0430\u043c\u0435\u0447\u0435\u043d\u043d\u044b\u0445 \u0432 \u044d\u0442\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438. \u0423\u0436\u0435 26 \u0430\u0432\u0433\u0443\u0441\u0442\u0430 2020 \u0433\u043e\u0434\u0430 \u043d\u0430 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0445 \u0440\u0435\u0441\u0443\u0440\u0441\u0430\u0445 \u043d\u0430\u0447\u0430\u043b\u0438 \u043f\u043e\u044f\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 \u0434\u043e\u043c\u0435\u043d\u0430\u043c\u0438 code-cloud[1-6][.]co.za \u0438 google-document[.]co.za. \u041e\u0434\u0438\u043d \u0438\u0437 \u0442\u0430\u043a\u0438\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u2014 <b>BankStatement_1390868739.doc<\/b> (SHA1: ed5c20371bae393df0a713be72220b055e5cbdad).<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/lc\/mm\/lk\/lcmmlkfpih9hwdbsqok7jzon-fe.png\"><\/div>\n<p><i>\u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 SHA1: ed5c20371bae393df0a713be72220b055e5cbdad (\u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0433\u0440\u0430\u0444\u0430 Group-IB TI&amp;A)<\/i><\/p>\n<p>  \u0412 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u044d\u0442\u043e\u0442 \u0444\u0430\u0439\u043b \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0438\u0437 google-document[.]co.za\/doc\/loader.exe. \u0421\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u043d\u044b\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u043f\u043e\u043a\u0430\u0437\u0430\u043b, \u0447\u0442\u043e \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0431\u0440\u0430\u0437\u0446\u043e\u043c Smoke Loader. <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/ib\/ve\/wb\/ibvewbkez-ld2muchl2znmfszz8.png\"><\/div>\n<p><i>\u0410\u043d\u0430\u043b\u0438\u0437 \u0444\u0430\u0439\u043b\u0430 loader.exe \u0438 \u043f\u0440\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0439 \u0442\u0435\u0433 Smoke loader<\/i><\/p>\n<p>  \u0422\u043e, \u0447\u0442\u043e \u043a\u0438\u0431\u0435\u0440\u043f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u0438\u043a\u0438 \u0432 \u0441\u0432\u043e\u0438\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0438, \u043c\u043e\u0436\u0435\u0442 \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0433\u0440\u0443\u043f\u043f\u0430 \u0432\u0441\u0435 \u0435\u0449\u0435 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432 \u043f\u043e\u0438\u0441\u043a\u0430\u0445 \u043b\u0443\u0447\u0448\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u0441\u0435\u0431\u044f. <\/p>\n<h2>\u0427\u0435\u0442\u0432\u0435\u0440\u0442\u0430\u044f \u0432\u043e\u043b\u043d\u0430<br \/>  <\/h2>\n<p>  \u0427\u0430\u0441\u0442\u044c \u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 \u043d\u0430\u0447\u0430\u043b\u0435 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u044f 2020 \u0433\u043e\u0434\u0430, \u043c\u0438\u043c\u0438\u043a\u0440\u0438\u0440\u043e\u0432\u0430\u043b\u0430 \u043f\u043e\u0434 Adobe \u0432 \u0441\u0432\u043e\u0438\u0445 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u044f\u0445. \u0423\u0436\u0435 \u043d\u0430\u0447\u0438\u043d\u0430\u044f \u0441 14 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u044f 2020 \u0433\u043e\u0434\u0430 \u043d\u0430 \u044d\u0442\u0438\u0445 \u0445\u043e\u0441\u0442\u0430\u0445, \u043a\u0430\u043a \u0438 \u0432 \u043f\u0435\u0440\u0432\u043e\u0439 \u0432\u043e\u043b\u043d\u0435, \u0431\u044b\u043b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d Mephistophilus \u0441 \u0438\u0434\u0435\u043d\u0442\u0438\u0447\u043d\u044b\u043c \u0448\u0430\u0431\u043b\u043e\u043d\u043e\u043c. <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/x8\/wo\/r2\/x8wor2eaqduf44ml5hrneci5gga.png\"><\/div>\n<p><i>\u0421\u0432\u044f\u0437\u044c \u043c\u0435\u0436\u0434\u0443 Mephistophilus-\u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0439 2019 \u0438 2020 \u0433\u043e\u0434\u0430<br \/>  <\/i><\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/in\/6l\/cs\/in6lcskjtaszxsdqafll2svej30.png\"><\/div>\n<p><i>\u0421\u043a\u0440\u0438\u043d\u0448\u043e\u0442 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u044b-\u043f\u0440\u0438\u043c\u0430\u043d\u043a\u0438 Mephistophilus <\/i><\/p>\n<p>  \u041d\u0430\u0436\u0430\u0442\u0438\u0435 \u043d\u0430 \u043a\u043d\u043e\u043f\u043a\u0443 Download plugin \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442 \u043a \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0435 \u0444\u0430\u0439\u043b\u0430 SHA1: bcfb45e5451435530156f1f02ddbb9cadf6338e9 \u0438\u0437 updateforadobenew[.]co.za\/file_d\/adobe-reader-v13.11.1.3.exe, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441\u0442\u0438\u043b\u0435\u0440\u043e\u043c Raccoon.<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/xc\/sx\/jd\/xcsxjd7p-d_blfjdf-fqmz7tmh4.png\"><\/div>\n<p><i>\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 \u0438\u0437 \u043c\u043e\u0434\u0443\u043b\u044f Polygon \u043a\u043e\u043c\u043f\u043b\u0435\u043a\u0441\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b Group-IB Threat Hunting Framework <\/i><\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/fr\/t8\/6y\/frt86yzrfqawq0l8i--eagxh7xg.png\"><\/div>\n<p><i>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043c\u0430\u0442\u0440\u0438\u0446\u044b \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u043c\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430<\/i><\/p>\n<blockquote><p>\u041f\u0440\u0438\u043c\u0435\u0447\u0430\u043d\u0438\u0435: \u041f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0432 \u0441\u0435\u0440\u0435\u0434\u0438\u043d\u0435 \u0438\u044e\u043b\u044f 2020 \u0433\u043e\u0434\u0430, \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0443\u0434\u0430\u043b\u0438\u043b\u0438 \u0441\u0432\u043e\u0439 Telegram-\u043a\u0430\u043d\u0430\u043b. \u041e\u043d \u0431\u044b\u043b \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d 14 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u044f 2020 \u0433\u043e\u0434\u0430 \u0438 \u0432 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0438 \u0442\u0430\u043a\u0436\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u043b \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0430\u0434\u0440\u0435\u0441 \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0433\u043e C&amp;C-\u0441\u0435\u0440\u0432\u0435\u0440\u0430. \u041d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u043e\u0433\u043e \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u043a\u0430\u043d\u0430\u043b \u0432\u043d\u043e\u0432\u044c \u043d\u0435\u0430\u043a\u0442\u0438\u0432\u0435\u043d.<\/p><\/blockquote>\n<p>  <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/uj\/p7\/ms\/ujp7msxppb5ycjvcbli8fjwnz9w.png\"><\/div>\n<p><i>\u0421\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 Telegram-\u043a\u0430\u043d\u0430\u043b\u0430 blintick<\/i><\/p>\n<h3>\u0421\u0432\u044f\u0437\u044c \u0441 FakeSecurity<br \/>  <\/h3>\n<p>  \u0414\u0430\u043d\u043d\u0430\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u0430\u044f \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f \u0438\u043c\u0435\u0435\u0442 \u044f\u0432\u043d\u043e\u0435 \u0441\u0445\u043e\u0434\u0441\u0442\u0432\u043e \u0441 \u0441\u0435\u0440\u0438\u0435\u0439 \u0430\u0442\u0430\u043a \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u043e\u0432 FakeSecurity, \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0439 \u044d\u043a\u0441\u043f\u0435\u0440\u0442\u0430\u043c\u0438 Group-IB \u0432 \u043d\u043e\u044f\u0431\u0440\u0435 2019 \u0433\u043e\u0434\u0430. \u0416\u0435\u0440\u0442\u0432\u0430\u043c\u0438 \u043f\u0440\u043e\u0448\u043b\u044b\u0445 \u0430\u0442\u0430\u043a \u0441\u0442\u0430\u043b\u0438 \u0432\u043b\u0430\u0434\u0435\u043b\u044c\u0446\u044b \u0441\u0430\u0439\u0442\u043e\u0432 \u043e\u043d\u043b\u0430\u0439\u043d-\u043c\u0430\u0433\u0430\u0437\u0438\u043d\u043e\u0432, \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u0445 \u043d\u0430 CMS Magento. \u0412 <a href=\"https:\/\/habr.com\/ru\/company\/group-ib\/blog\/475264\/\">\u043e\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0439<\/a> \u0440\u0430\u043d\u0435\u0435 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u0442\u0430\u043a\u0438\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u043a\u0430\u043a \u0441\u0442\u0438\u043b\u0435\u0440 Vidar \u0438 \u0444\u0438\u0448-\u043a\u0438\u0442 Mephistophilus \u0441 \u0438\u0434\u0435\u043d\u0442\u0438\u0447\u043d\u044b\u043c \u0448\u0430\u0431\u043b\u043e\u043d\u043e\u043c \u043f\u043e\u0434 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u0434\u043b\u044f Adobe. \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u0432 \u043e\u0431\u0435\u0438\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044f\u0445 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043b\u0438 \u0434\u043e\u043c\u0435\u043d\u044b \u043d\u0430 \u043e\u0434\u043d\u0438\u0445 \u0438 \u0442\u0435\u0445 \u0436\u0435 \u0445\u043e\u0441\u0442\u0438\u043d\u0433\u0430\u0445. <\/p>\n<p>  \u0412 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 2020 \u0433\u043e\u0434\u0430 \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0442\u0430\u043a\u043e\u0433\u043e \u0436\u0435 \u0432\u0435\u043a\u0442\u043e\u0440\u0430 \u0430\u0442\u0430\u043a \u0441 \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0435\u043c \u0441\u0442\u0438\u043b\u0435\u0440\u0430 Raccoon. \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u0432 \u0445\u043e\u0434\u0435 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u044d\u0442\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043f\u0438\u0441\u044c\u043c\u0430, \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u0435 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u043c \u043e\u043d\u043b\u0430\u0439\u043d-\u043c\u0430\u0433\u0430\u0437\u0438\u043d\u0430\u043c \u0441 email-\u0430\u0434\u0440\u0435\u0441\u043e\u0432 bezco.quise1988@wp.pl \u0438 outtia.lene1985@wp.pl. <\/p>\n<p>  \u041f\u0440\u0438 \u0434\u0435\u0442\u0430\u043b\u044c\u043d\u043e\u043c \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0438 \u043f\u0435\u0440\u0432\u043e\u0439 \u0432\u043e\u043b\u043d\u044b \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0445 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c \u0447\u0435\u0440\u0435\u0437 \u0432\u0435\u0431-\u0444\u0435\u0439\u043a\u0438 Mephistophilus \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0441\u0432\u044f\u0437\u044c \u043c\u0435\u0436\u0434\u0443 \u0434\u043e\u043c\u0435\u043d\u0430\u043c\u0438 \u044d\u0442\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438, \u0432 \u0447\u0430\u0441\u0442\u043d\u043e\u0441\u0442\u0438 documents-cloud-server*[.]co.za, \u0438 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0435\u0439 FakeSecurity. \u0412 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 2020 \u0433\u043e\u0434\u0430 \u0432\u0435\u0431-\u0444\u0435\u0439\u043a\u0438 \u0431\u044b\u043b\u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u043f\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c URL:<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/mn\/qv\/lj\/mnqvljirrzdgf3rdmij8krwcv_w.png\"><\/div>\n<p><i>\u0421\u043f\u0438\u0441\u043e\u043a \u0434\u043e\u043c\u0435\u043d\u043e\u0432 \u0441 \u0438\u0434\u0435\u043d\u0442\u0438\u0447\u043d\u043e\u0439 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439<\/i><\/p>\n<p>  \u0421\u043e\u0433\u043b\u0430\u0441\u043d\u043e \u0440\u0435\u0441\u0443\u0440\u0441\u0443 urlscan[.]io, \u0441 \u043f\u043e\u0445\u043e\u0436\u0435\u0439 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439 \u0431\u044b\u043b\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e \u043f\u043e\u0440\u044f\u0434\u043a\u0430 20 \u0441\u0430\u0439\u0442\u043e\u0432. \u0421\u0440\u0435\u0434\u0438 \u043d\u0438\u0445 \u0432\u044b\u0434\u0435\u043b\u044f\u0435\u0442\u0441\u044f alloaypparel[.]com. \u042d\u0442\u043e\u0442 \u0434\u043e\u043c\u0435\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0432 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 FakeSecurity. <br \/>  \u0421 \u043c\u0430\u0440\u0442\u0430 2020 \u0433\u043e\u0434\u0430 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0441\u0442\u044b Group-IB \u043d\u0430\u0447\u0430\u043b\u0438 \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u043e\u043d\u043b\u0430\u0439\u043d-\u043c\u0430\u0433\u0430\u0437\u0438\u043d\u043e\u0432 JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u043e\u043c, \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u0430 aaencode (https:\/\/utf-8.jp\/public\/aaencode.html). \u0412\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043a\u043e\u0434 \u043f\u043e\u0434\u0433\u0440\u0443\u0436\u0430\u043b\u0441\u044f \u0441 \u0434\u043e\u043c\u0435\u043d\u0430 get-js[.]com. \u0414\u043e\u043c\u0435\u043d get-js[.]com \u0438\u043c\u0435\u043b WHOIS-\u0437\u0430\u043f\u0438\u0441\u0438, \u0441\u0445\u043e\u0436\u0438\u0435 \u0441 \u0440\u0430\u043d\u0435\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u043c\u0438 \u0434\u043e\u043c\u0435\u043d\u0430\u043c\u0438 \u044d\u0442\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u044b:<\/p>\n<ul>\n<li>fiswedbesign[.]com<\/li>\n<li>alloaypparel[.]com<\/li>\n<li>firstofbanks[.]com<\/li>\n<li>magento-security[.]org<\/li>\n<li>mage-security[.]org<\/li>\n<\/ul>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/_l\/ps\/lr\/_lpslrzgptqmvh5tsvf-d5vnt1e.png\"><\/div>\n<p><i>\u0421\u0432\u044f\u0437\u044c \u043c\u0435\u0436\u0434\u0443 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u044b FakeSecutiry \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 2019 \u0433\u043e\u0434\u0430 \u0438 \u0434\u043e\u043c\u0435\u043d\u043e\u043c get-js[.]com<\/i><\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/4f\/gs\/hg\/4fgshg4cc-pwlmxf2qz6xgnqmks.png\"><\/div>\n<p><i>\u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442 \u043a\u043e\u0434\u0430 JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0430, \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u0430 aaencode<\/i><\/p>\n<p>  \u041f\u043e\u0441\u043b\u0435 \u0441\u043d\u044f\u0442\u0438\u044f \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0438 \u043c\u044b \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b\u0438, \u0447\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0439 \u0434\u043b\u044f \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u0438\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043a\u043e\u0434 \u2014 \u044d\u0442\u043e \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0432\u0435\u0440\u0441\u0438\u044f \u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0430 FakeSecurity, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043b\u0438 \u0432 \u043d\u043e\u044f\u0431\u0440\u0435 2019 \u0433\u043e\u0434\u0430.<\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/yl\/sh\/fl\/ylshflm6cwj0jargjnqpuhxotmk.png\"><\/div>\n<p><i>\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u0434 \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0438 \u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0430 FakeSecurity<\/i><\/p>\n<p>  \u0412 \u043c\u0430\u0435 2020 \u0433\u043e\u0434\u0430 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0441\u0442\u044b Group-IB \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u043d\u043e\u0432\u044b\u0435 \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u043e\u043d\u043b\u0430\u0439\u043d-\u043c\u0430\u0433\u0430\u0437\u0438\u043d\u043e\u0432. \u0412 \u0445\u043e\u0434\u0435 \u044d\u0442\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0441\u043d\u043e\u0432\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0441\u043d\u0438\u0444\u0444\u0435\u0440 FakeSecurity, \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 aaencode. \u0412\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043a\u043e\u0434 \u0432\u043d\u0435\u0434\u0440\u044f\u043b\u0441\u044f \u043b\u0438\u0431\u043e \u043f\u043e \u0441\u0441\u044b\u043b\u043a\u0435 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u0442\u0435\u0433\u0430 script, \u043b\u0438\u0431\u043e \u043f\u0443\u0442\u0435\u043c \u043c\u043e\u0434\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 JavaScript-\u0444\u0430\u0439\u043b\u043e\u0432 \u0441\u0430\u0439\u0442\u0430. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u044d\u0442\u043e\u0433\u043e \u0441\u043d\u0438\u0444\u0444\u0435\u0440\u0430 \u0431\u044b\u043b \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d 21 \u043e\u043d\u043b\u0430\u0439\u043d-\u043c\u0430\u0433\u0430\u0437\u0438\u043d. \u0414\u043b\u044f \u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u0434\u0430 \u0438 \u0441\u0431\u043e\u0440\u0430 \u0443\u043a\u0440\u0430\u0434\u0435\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0431\u0430\u043d\u043a\u043e\u0432\u0441\u043a\u0438\u0445 \u043a\u0430\u0440\u0442 \u0432 \u0445\u043e\u0434\u0435 \u043d\u043e\u0432\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0434\u043e\u043c\u0435\u043d\u044b: <\/p>\n<ul>\n<li>cloud-js[.]co.za<\/li>\n<li>host-js[.]co.za<\/li>\n<li>magento-cloud[.]co.za<\/li>\n<li>magento-js[.]co.za<\/li>\n<li>magento-security[.]co.za<\/li>\n<li>marketplace-magento[.]co.za<\/li>\n<li>marketplacemagento[.]co.za<\/li>\n<li>node-js[.]co.za<\/li>\n<li>node-js[.]co.za<\/li>\n<li>payment-js[.]co.za<\/li>\n<li>security-js[.]co.za<\/li>\n<li>web-js[.]co.za<\/li>\n<\/ul>\n<p>  \u0414\u0430\u0442\u0430 \u0438\u0445 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u2014 24 \u0430\u043f\u0440\u0435\u043b\u044f 2020 \u0433\u043e\u0434\u0430 (\u0432\u0442\u043e\u0440\u0430\u044f \u0432\u043e\u043b\u043d\u0430). \u042d\u0442\u0438 \u0434\u043e\u043c\u0435\u043d\u044b \u0431\u044b\u043b\u0438 \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u0443 \u0442\u0435\u0445 \u0436\u0435 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u0432, \u0447\u0442\u043e \u0438 \u0434\u043e\u043c\u0435\u043d\u044b, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432\u0448\u0438\u0435\u0441\u044f \u0434\u043b\u044f \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0441\u0442\u0438\u043b\u0435\u0440\u043e\u0432 Vidar, Raccoon, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u043e\u0432 Buer \u0438 Smoke.<\/p>\n<p>  \u0424\u043e\u0440\u043c\u0430\u0442 \u0441\u0441\u044b\u043b\u043e\u043a \u043d\u0430 \u0444\u0430\u0439\u043b\u044b JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u043e\u0432, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u043e\u0435 \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u044c, \u0447\u0442\u043e \u0437\u0430 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0435\u0439 \u043f\u043e \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u0438\u044e \u0441\u0430\u0439\u0442\u043e\u0432 \u043e\u043d\u043b\u0430\u0439\u043d-\u043c\u0430\u0433\u0430\u0437\u0438\u043d\u043e\u0432 \u0441\u0442\u043e\u044f\u0442 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u043e\u0432 FakeSecurity.<\/p>\n<p>  \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0434\u043e\u043c\u0435\u043d\u044b \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438 \u0445\u043e\u0441\u0442\u0438\u043b\u0438 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 \u0437\u0430\u0433\u043b\u0443\u0448\u043a\u0438 \u0441 \u043d\u0430\u0434\u043f\u0438\u0441\u044c\u044e test page \u2014 \u043f\u043e\u0445\u043e\u0436\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u0437\u0430\u0433\u043b\u0443\u0448\u043a\u0438 \u0445\u043e\u0441\u0442\u0438\u0442\u0441\u044f \u0438 \u043d\u0430 \u0434\u043e\u043c\u0435\u043d\u0430\u0445 FakeSecurity:<\/p>\n<ul>\n<li>urlscan.io\/result\/0299b3e5-cbba-40be-adce-7ba437e4cb39\/ microsoft-cloud10[.]co.za<\/li>\n<li>urlscan.io\/result\/8f244d1b-2186-4db5-9c52-6122584dafa9\/ \u2014 documents-cloud-server[.]co.za<\/li>\n<\/ul>\n<p>  <\/p>\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/vp\/d4\/o8\/vpd4o8rtkbikrxau4l4cxdlr0nw.png\"><\/div>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/zu\/l0\/ti\/zul0tix80nmqokm_xecda9sr9ds.png\"><br \/>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/27\/wh\/lk\/27whlkhilwito2hdpeinwwux_ig.png\"><\/p>\n<p>  <i>\u0412\u0430\u0440\u0438\u0430\u043d\u0442\u044b \u0441\u0445\u043e\u0436\u0438\u0445 \u0437\u0430\u0433\u043b\u0443\u0448\u0435\u043a \u00abtest page\u00bb \u043d\u0430 \u0433\u0435\u0439\u0442\u0430\u0445 FakeSecurity \u0438 \u0438\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c\u044b\u0445 \u0434\u043e\u043c\u0435\u043d\u0430\u0445 co.za<br \/>  <\/i><br \/>  \u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0435 \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u0438 \u0441\u0432\u0438\u0434\u0435\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0443\u044e\u0442 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0437\u0430 \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0439 \u0432\u044b\u0448\u0435 \u043c\u043d\u043e\u0433\u043e\u0441\u0442\u0443\u043f\u0435\u043d\u0447\u0430\u0442\u043e\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0435\u0439 \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u0435\u0435 \u0432\u0441\u0435\u0433\u043e \u0441\u0442\u043e\u044f\u0442 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440\u043e\u0432 FakeSecurity. \u041f\u043e \u043d\u0430\u0448\u0438\u043c \u0434\u0430\u043d\u043d\u044b\u043c, \u0445\u043e\u0442\u044c \u0433\u0440\u0443\u043f\u043f\u0430 \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u043d\u0435 \u0441\u0432\u043e\u0435\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u043e\u0434\u0430\u044e\u0442\u0441\u044f \u0438\u043b\u0438 \u0441\u0434\u0430\u044e\u0442\u0441\u044f \u0432 \u0430\u0440\u0435\u043d\u0434\u0443 \u043d\u0430 \u0434\u0430\u0440\u043a\u043d\u0435\u0442-\u0444\u043e\u0440\u0443\u043c\u0430\u0445, \u043e\u043d\u0430 \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u0439 JS-\u0441\u043d\u0438\u0444\u0444\u0435\u0440.<\/p>\n<h2>\u0420\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0438<\/h2>\n<p>  \u0414\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0437\u0430\u0449\u0438\u0442\u044b \u043d\u0430 \u0433\u043e\u0442\u043e\u0432\u043d\u043e\u0441\u0442\u044c \u043a \u043e\u0442\u0440\u0430\u0436\u0435\u043d\u0438\u044e \u0430\u0442\u0430\u043a, \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0445 \u0432 \u043d\u0430\u0448\u0435\u043c \u0431\u043b\u043e\u0433\u0435, \u043c\u044b \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u043c \u043c\u0430\u0442\u0440\u0438\u0446\u0443 MITRE ATT&amp;CK \u0438 MITRE Shield. \u0412\u0441\u0435 \u044d\u0442\u0438 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 \u0437\u0430\u0449\u0438\u0442\u044b \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u0432 \u043d\u043e\u0432\u043e\u043c \u043a\u043b\u0430\u0441\u0441\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0439 Group-IB \u0434\u043b\u044f \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u043a\u0438\u0431\u0435\u0440\u0443\u0433\u0440\u043e\u0437 \u0438 \u043e\u0445\u043e\u0442\u044b \u0437\u0430 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u043c\u0438. \u041f\u0440\u0438 \u0432\u043e\u0437\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u0438 \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432 \u0438\u043b\u0438 \u043f\u043e\u0434\u043e\u0437\u0440\u0435\u043d\u0438\u0439 \u043d\u0430 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442 \u043e\u0431\u0440\u0430\u0449\u0430\u0439\u0442\u0435\u0441\u044c \u043d\u0430 response@cert-gib.com. <\/p>\n<div class=\"scrollable-table\">\n<table>\n<tr>\n<th>Tactics<\/th>\n<th>Techniques of adversaries<\/th>\n<th>Mitigations &amp; Active Defense Techniques<\/th>\n<th>Group-IB mitigation &amp; protection products<\/th>\n<\/tr>\n<tr>\n<td>Reconnaissance<\/td>\n<td>T1595 \u2014 Active Scanning<\/p>\n<p>  T1583. Acquire Infrastructure  <\/td>\n<td>M1016. Vulnerability Scanning<\/td>\n<td><a href=\"https:\/\/www.group-ib.com\/security-assessment.html\">Security Assessment<\/a><\/td>\n<\/tr>\n<tr>\n<td>Initial Access<\/td>\n<td>T1566 \u2014 Phishing<\/p>\n<p>  T1190 \u2014 Exploit Public-Facing Application  <\/td>\n<td>M1049. Antivirus\/Antimalware<\/p>\n<p>  M1031. Network Intrusion Prevention<\/p>\n<p>  M1021. Restrict Web-Based Content<\/p>\n<p>  M1017. User Training<\/p>\n<p>  M1050. Exploit Protection<\/p>\n<p>  M1051. Update Software<\/p>\n<p>  M1027. Password Policies<\/p>\n<p>  DTE0035. User Training<\/p>\n<p>  DTE0019. Email Manipulation<\/p>\n<p>  DTE0027. Network Monitoring  <\/td>\n<td><a href=\"https:\/\/www.group-ib.com\/threat-hunting-framework.html\">Threat Hunting Framework<\/a><\/p>\n<p>  <a href=\"https:\/\/www.group-ib.com\/intelligence-attribution.html\">Threat Intelligence &amp; Attribution<\/a><\/p>\n<p>  <a href=\"https:\/\/www.group-ib.com\/cyberschool.html\">Cyber Education<\/a><\/p>\n<p>  <a href=\"https:\/\/www.group-ib.com\/red-teaming.html\">Red Teaming<\/a>  <\/td>\n<\/tr>\n<tr>\n<td>Execution<\/td>\n<td>T1059. Command and Scripting Interpreter<\/p>\n<p>  T1204. User Execution<\/p>\n<p>  T1059.007. JavaScript\/JScript  <\/td>\n<td rowspan=\"2\">M1049. Antivirus\/Antimalware<\/p>\n<p>  M1038. Execution Prevention<\/p>\n<p>  M1021. Restrict Web-Based Content<\/p>\n<p>  M1026. Privileged Account Management<\/p>\n<p>  DTE0035. User Training<\/p>\n<p>  DTE0021. Hunting<\/p>\n<p>  DTE0018. Detonate Malware<\/p>\n<p>  DTE0007. Behavioral Analytics<\/p>\n<p>  DTE0003. API Monitoring<\/p>\n<p>  DTE0034. System Activity Monitoring  <\/td>\n<td rowspan=\"2\"><a href=\"https:\/\/www.group-ib.com\/threat-hunting-framework.html\">Threat Hunting Framework<\/a><\/p>\n<p>  <a href=\"https:\/\/www.group-ib.com\/red-teaming.html\">Red Teaming<\/a><\/p>\n<p>  <a href=\"https:\/\/www.group-ib.com\/incident-response.html\">Incident Response<\/a><\/p>\n<p>  <a href=\"https:\/\/www.group-ib.com\/fraud-hunting-platform.html\">Fraud Hunting Platform<\/a>  <\/td>\n<\/tr>\n<tr>\n<td>Defense Evasion<\/td>\n<td>T1036. Masquerading<\/p>\n<p>  T1027. Obfuscated Files or Information  <\/td>\n<\/tr>\n<tr>\n<td>Credential Access<\/td>\n<td rowspan=\"2\">T1056. Input Capture  <\/td>\n<td rowspan=\"2\">M1049. Antivirus\/Antimalware<\/p>\n<p>  DTE0007. Behavioral Analytics<\/p>\n<p>  DTE0003. API Monitoring<\/p>\n<p>  DTE0034. System Activity Monitoring  <\/td>\n<td rowspan=\"2\"><a href=\"https:\/\/www.group-ib.com\/threat-hunting-framework.html\">Threat Hunting Framework<\/a><\/td>\n<\/tr>\n<tr>\n<td>Collection<\/td>\n<\/tr>\n<tr>\n<td>Command and Control<\/td>\n<td>T1219. Remote Access Software<\/td>\n<td rowspan=\"2\">M1038. Execution Prevention<\/p>\n<p>  M1031. Network Intrusion Prevention<\/p>\n<p>  DTE0021. Hunting<\/p>\n<p>  DTE0022. Isolation<\/p>\n<p>  DTE0027. Network Monitoring<\/p>\n<p>  DTE0003. API Monitoring<\/p>\n<p>  DTE0034. System Activity Monitoring<\/p>\n<p>  DTE0031. Protocol Decoder  <\/td>\n<td rowspan=\"2\"><a href=\"https:\/\/www.group-ib.com\/threat-hunting-framework.html\">Threat Hunting Framework<\/a><\/td>\n<\/tr>\n<tr>\n<td>Exfiltration<\/td>\n<td>T1041. Exfiltration Over C2 Channel<\/td>\n<\/tr>\n<\/table>\n<\/div>\n<p>  P.S. \u0410\u0432\u0442\u043e\u0440 \u0432\u044b\u0440\u0430\u0436\u0430\u0435\u0442 \u0431\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u043d\u043e\u0441\u0442\u044c <a href=\"https:\/\/habr.com\/ru\/company\/group-ib\/blog\/475264\/\">\u0412\u0438\u043a\u0442\u043e\u0440\u0443 \u041e\u043a\u043e\u0440\u043e\u043a\u043e\u0432\u0443<\/a>, \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a\u0443 Group-IB Threat Intelligence &amp; Attribution, \u0437\u0430 \u043f\u043e\u043c\u043e\u0449\u044c \u0432 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0435 \u0434\u0430\u043d\u043d\u043e\u0439 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438. <\/p>\n<p>  P.P.S. \u0415\u0441\u043b\u0438 \u0442\u044b, \u0442\u0430\u043a\u0436\u0435 \u043a\u0430\u043a \u0438 \u043c\u044b \u0441\u0447\u0438\u0442\u0430\u0435\u0448\u044c, \u0447\u0442\u043e \u0437\u043b\u043e \u0432 \u043b\u044e\u0431\u043e\u043c \u0446\u0438\u0444\u0440\u043e\u0432\u043e\u043c \u043e\u0431\u043b\u0438\u0447\u0438\u0438 \u0434\u043e\u043b\u0436\u043d\u043e \u0431\u044b\u0442\u044c \u043d\u0430\u043a\u0430\u0437\u0430\u043d\u043e, \u0437\u0430\u043b\u0435\u0442\u0430\u0439 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u043d\u0430\u0448\u0438 \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u044b\u0435 <a href=\"https:\/\/www.group-ib.ru\/vacancies.html#vacancy_214\">\u0432\u0430\u043a\u0430\u043d\u0441\u0438\u0438<\/a> \u0432 \u0434\u0435\u043f\u0430\u0440\u0442\u0430\u043c\u0435\u043d\u0442\u0435 Threat Intelligence &amp; Attribution. Group-IB \u2014 \u044d\u0442\u043e \u043d\u043e\u0432\u043e\u0435 \u043f\u043e\u043a\u043e\u043b\u0435\u043d\u0438\u0435 \u0438\u043d\u0436\u0435\u043d\u0435\u0440\u043e\u0432, \u0432\u043e\u043f\u043b\u043e\u0449\u0430\u044e\u0449\u0438\u0445 \u0441\u043c\u0435\u043b\u044b\u0435 \u0438\u043d\u043d\u043e\u0432\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0435 \u0438\u0434\u0435\u0438 \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a, \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044f\u0445 \u0445\u0430\u043d\u0442\u0438\u043d\u0433\u0430, \u0441\u043b\u0435\u0436\u0435\u043d\u0438\u044f \u0437\u0430 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u043c\u0438, \u0438\u0445 \u0442\u0430\u043a\u0442\u0438\u043a\u043e\u0439, \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c\u0438 \u0438 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439. \u0415\u0436\u0435\u0434\u043d\u0435\u0432\u043d\u043e \u043c\u044b \u0431\u043e\u0440\u0435\u043c\u0441\u044f \u0441 \u043c\u0435\u0436\u0434\u0443\u043d\u0430\u0440\u043e\u0434\u043d\u043e\u0439 \u043a\u0438\u0431\u0435\u0440\u043f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u044c\u044e, \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u044f \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u044b \u0438 \u0441\u0435\u0440\u0432\u0438\u0441\u044b, \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u044b\u0435 \u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c \u043b\u044e\u0434\u0435\u0439, \u0431\u0438\u0437\u043d\u0435\u0441 \u0438 \u0433\u043e\u0441\u0443\u0434\u0430\u0440\u0441\u0442\u0432\u0430 \u0432\u043e \u0432\u0441\u0435\u043c \u043c\u0438\u0440\u0435. \u0418 \u0435\u0441\u043b\u0438 \u0442\u0432\u043e\u0438 \u0441\u043a\u0438\u043b\u044b \u043c\u043e\u0433\u0443\u0442 \u043f\u0440\u0438\u0433\u043e\u0434\u0438\u0442\u044c\u0441\u044f \u0434\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043d\u043e\u0432\u044b\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f, \u043f\u0438\u043b\u0438\u0442\u044c \u043a\u0440\u0443\u0442\u044b\u0435 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u044b, \u0442\u043e \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u043e\u0433\u0440\u043e\u043c\u043d\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e <a href=\"https:\/\/www.group-ib.ru\/vacancies.html#vacancy_202\">\u0432\u0430\u043a\u0430\u043d\u0441\u0438\u0439<\/a> \u0432 \u0434\u0435\u043f\u0430\u0440\u0442\u0430\u043c\u0435\u043d\u0442\u0435 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438. \u041f\u0440\u0438\u0441\u043e\u0435\u0434\u0438\u043d\u044f\u0439\u0441\u044f! <\/p>\n<div class=\"spoiler\" role=\"button\" tabindex=\"0\">                         <b class=\"spoiler_title\">\u0418\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u044b<\/b>                         <\/p>\n<div class=\"spoiler_text\">\n<div class=\"scrollable-table\">\n<table>\n<tr>\n<td><b>TG not mal<\/b><\/td>\n<td>telete[.]in\/blintick<\/p>\n<p>  8623aq9z046whQWysOHRvL9zM\/GAADZbWXUG4TKc3D8n3r00X34-v70<\/p>\n<p>  73309q9z046whQWytOHdtItzM+WEADZfJFUetXe10DMG+8VUP7A==26-v30  <\/td>\n<\/tr>\n<tr>\n<td><b>Raccoon<\/b><\/td>\n<td>cloud-server-updater[.]co.za<\/p>\n<p>  cloud-server-updater1[.]co.za<\/p>\n<p>  cloud-server-updater2[.]co.za<\/p>\n<p>  cloud-server-updater3[.]co.za<\/p>\n<p>  cloud-server-updater4[.]co.za<\/p>\n<p>  cloud-server-updater5[.]co.za<\/p>\n<p>  cloud-server-updater6[.]co.za<\/p>\n<p>  cloud-server-updater7[.]co.za<\/p>\n<p>  cloud-server-updater8[.]co.za<\/p>\n<p>  cloud-server-updater9[.]co.za<\/p>\n<p>  cloud-server-updater10[.]co.za<\/p>\n<p>  cloud-server-updater11[.]co.za<\/p>\n<p>  cloud-server-updater12[.]co.za<\/p>\n<p>  cloud-server-updater13[.]co.za<\/p>\n<p>  cloud-server-updater14[.]co.za<\/p>\n<p>  cloud-server-updater15[.]co.za<\/p>\n<p>  cloud-server-updater16[.]co.za<\/p>\n<p>  cloud-server-updater17[.]co.za<\/p>\n<p>  cloud-server-updater18[.]co.za<\/p>\n<p>  cloud-server-updater19[.]co.za<\/p>\n<p>  cloud-server-updater20[.]co.za<\/p>\n<p>  cloud-server-updater21[.]co.za<\/p>\n<p>  cloud-server-updater22[.]co.za<\/p>\n<p>  cloud-server-updater23[.]co.za<\/p>\n<p>  cloud-server-updater24[.]co.za<\/p>\n<p>  cloud-server-updater25[.]co.za<\/p>\n<p>  cloud-server-updater26[.]co.za<\/p>\n<p>  cloud-server-updater27[.]co.za<\/p>\n<p>  cloud-server-updater28[.]co.za<\/p>\n<p>  35.228.95[.]80<\/p>\n<p>  35.198.88[.]195<\/p>\n<p>  34.105.255[.]170<\/p>\n<p>  102.130.113[.]55<\/p>\n<p>  34.105.219[.]83<\/p>\n<p>  oneupdateadobe[.]co.za<\/p>\n<p>  oneupdateadobe2[.]co.za<\/p>\n<p>  oneupdateadobe3[.]co.za<\/p>\n<p>  oneupdateadobe4[.]co.za<\/p>\n<p>  updateforadobenew[.]co.za<\/p>\n<p>  oneupdateadobe[.]org.za<\/p>\n<p>  oneupdateadobe2[.]org.za<\/p>\n<p>  oneupdateadobe3[.]org.za<\/p>\n<p>  microsoft-cloud1[.]co.za<\/p>\n<p>  microsoft-cloud6[.]co.za<\/p>\n<p>  microsoft-cloud7[.]co.za<\/p>\n<p>  microsoft-cloud8[.]co.za<\/p>\n<p>  microsoft-cloud9[.]co.za<\/p>\n<p>  microsoft-cloud10[.]co.za<\/p>\n<p>  microsoft-cloud11[.]co.za<\/p>\n<p>  microsoft-cloud12[.]co.za<\/p>\n<p>  microsoft-cloud13[.]co.za<\/p>\n<p>  microsoft-cloud14[.]co.za<\/p>\n<p>  microsoft-cloud15[.]co.za<\/p>\n<p>  cloudupdates[.]co.za  <\/td>\n<\/tr>\n<tr>\n<td><b>FakeSecurity<\/b><\/td>\n<td>cloud-js[.]co.za<\/p>\n<p>  host-js[.]co.za<\/p>\n<p>  magento-cloud[.]co.za<\/p>\n<p>  magento-js[.]co.za<\/p>\n<p>  magento-security[.]co.za<\/p>\n<p>  marketplace-magento[.]co.za<\/p>\n<p>  marketplacemagento[.]co.za<\/p>\n<p>  node-js[.]co.za<\/p>\n<p>  node-js[.]co.za<\/p>\n<p>  payment-js[.]co.za<\/p>\n<p>  security-js[.]co.za<\/p>\n<p>  web-js[.]co.za  <\/td>\n<\/tr>\n<tr>\n<td><b>Mephistophilus<\/b><\/td>\n<td>documents-cloud-server1[.]co.za<\/p>\n<p>  documents-cloud-server2[.]co.za<\/p>\n<p>  documents-cloud-server3[.]co.za<\/p>\n<p>  documents-cloud-server4[.]co.za<\/p>\n<p>  documents-cloud-server6[.]co.za<\/p>\n<p>  documents-cloud-server7[.]co.za<\/p>\n<p>  documents-cloud-server8[.]co.za<\/p>\n<p>  documents-cloud-server9[.]co.za<\/p>\n<p>  documents-cloud-server[.]co.za<\/p>\n<p>  oneupdateadobe[.]co.za<\/p>\n<p>  oneupdateadobe2[.]co.za<\/p>\n<p>  oneupdateadobe3[.]co.za<\/p>\n<p>  oneupdateadobe4[.]co.za<\/p>\n<p>  updateforadobenew[.]co.za<\/p>\n<p>  oneupdateadobe[.]org.za<\/p>\n<p>  oneupdateadobe2.[.]org.za<\/p>\n<p>  oneupdateadobe3[.]org.za<\/p>\n<p>  oneupdateadobe3[.]com  <\/td>\n<\/tr>\n<tr>\n<td><b>Vidar<\/b><\/td>\n<td>badlandsparks[.]com<\/p>\n<p>  gineuter[.]info<\/p>\n<p>  paunsaugunt[.]com<\/p>\n<p>  precambrianera[.]com<\/p>\n<p>  biscayneinn[.]com<\/p>\n<p>  msupdater[.]co.za<\/p>\n<p>  cloudupdate[.]co.za<\/p>\n<p>  cloudupdates[.]co.za<\/p>\n<p>  securitycloudserver[.]co.za<\/p>\n<p>  fastandprettycleaner[.]hk<\/p>\n<p>  download-plugin[.]co.za<\/p>\n<p>  download-plugins[.]co.za<\/p>\n<p>  downloadplugins[.]co.za  <\/td>\n<\/tr>\n<tr>\n<td><b>\u0414\u0440\u0443\u0433\u0438\u0435 \u0438\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u044b<\/b><\/td>\n<td>code-cloud1[.]co.za<\/p>\n<p>  code-cloud2[.]co.za<\/p>\n<p>  code-cloud3[.]co.za<\/p>\n<p>  code-cloud4[.]co.za<\/p>\n<p>  code-cloud5[.]co.za<\/p>\n<p>  code-cloud6[.]co.za<\/p>\n<p>  google-document[.]co.za<\/p>\n<p>  azure-cloud1[.]co.za<\/p>\n<p>  azure-cloud2[.]co.za<\/p>\n<p>  azure-cloud3[.]co.za<\/p>\n<p>  azure-cloud4[.]co.za<\/p>\n<p>  azure-cloud1[.]web.za<\/p>\n<p>  azure-cloud2[.]web.za<\/p>\n<p>  azure-cloud3[.]web.za<\/p>\n<p>  Updateadobeonline[.]co.za  <\/td>\n<\/tr>\n<\/table>\n<\/div>\n<\/div><\/div>\n<\/div>\n<p> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/company\/group-ib\/blog\/528010\/\"> https:\/\/habr.com\/ru\/company\/group-ib\/blog\/528010\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"\n<div class=\"post__text post__text-html post__text_v1\" id=\"post-content-body\">\n<div style=\"text-align:center;\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/nn\/dw\/lk\/nndwlk-haaa5fyv_ttkhm5jzdma.jpeg\"><\/div>\n<p>  \u041b\u0435\u0442\u043e\u043c 2020 \u0433\u043e\u0434\u0430 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0441\u0442\u044b Group-IB \u043e\u0431\u0440\u0430\u0442\u0438\u043b\u0438 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 \u043d\u0435\u043e\u0431\u044b\u0447\u043d\u0443\u044e \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u044e \u043f\u043e \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e \u0441\u0442\u0438\u043b\u0435\u0440\u0430 Raccoon. \u0421\u0430\u043c \u0441\u0442\u0438\u043b\u0435\u0440 \u0445\u043e\u0440\u043e\u0448\u043e \u0438\u0437\u0432\u0435\u0441\u0442\u0435\u043d: \u043e\u043d \u0443\u043c\u0435\u0435\u0442 \u0441\u043e\u0431\u0438\u0440\u0430\u0442\u044c \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e, \u0434\u0430\u043d\u043d\u044b\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0437\u0430\u043f\u0438\u0441\u0435\u0439 \u0432 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430\u0445, \u0434\u0430\u043d\u043d\u044b\u0435 \u0431\u0430\u043d\u043a\u043e\u0432\u0441\u043a\u0438\u0445 \u043a\u0430\u0440\u0442, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0438\u0449\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u043a\u0440\u0438\u043f\u0442\u043e-\u043a\u043e\u0448\u0435\u043b\u044c\u043a\u0430\u0445. <\/p>\n<p>  \u0421\u044e\u0440\u043f\u0440\u0438\u0437 \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u0432 \u0434\u0440\u0443\u0433\u043e\u043c. <b>\u041d\u0438\u043a\u0438\u0442\u0430 \u0420\u043e\u0441\u0442\u043e\u0432\u0446\u0435\u0432, \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a Group-IB Threat Intelligence &amp; Attribution<\/b>, \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u043a\u0430\u043a \u0432 \u0445\u043e\u0434\u0435 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0445\u0440\u043e\u043d\u043e\u043b\u043e\u0433\u0438\u044e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0438, \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0441\u0432\u044f\u0437\u0438 \u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u0430\u043c\u0438 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432. \u0417\u0430\u0431\u0435\u0433\u0430\u044f \u0432\u043f\u0435\u0440\u0435\u0434, \u043e\u0442\u043c\u0435\u0442\u0438\u043c, \u0447\u0442\u043e \u00ab\u0435\u043d\u043e\u0442\u00bb \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u043f\u0440\u0438\u043a\u043e\u0440\u043c\u043b\u0435\u043d\u043d\u044b\u043c \u0443\u0436\u0435 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0439 \u043d\u0430\u043c \u0433\u0440\u0443\u043f\u043f\u043e\u0439. <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-314476","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/314476","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=314476"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/314476\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=314476"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=314476"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=314476"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}