{"id":462500,"date":"2025-06-09T03:07:01","date_gmt":"2025-06-09T03:07:01","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=462500"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=462500","title":{"rendered":"<span>\u041d\u043e\u0432\u044b\u0435 \u0430\u0442\u0430\u043a\u0438 GOFFEE: \u0440\u0430\u0437\u0431\u043e\u0440 Kill Chain \u0438 \u0430\u043d\u0430\u043b\u0438\u0437 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e<\/span>"},"content":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u0412 \u043f\u0440\u043e\u0448\u043b\u043e\u043c \u0438 \u043d\u044b\u043d\u0435\u0448\u043d\u0435\u043c \u0433\u043e\u0434\u0443 \u043a\u043e\u043b\u043b\u0435\u0433\u0438 \u0438\u0437 \u00ab<a href=\"https:\/\/securelist.com\/apt-trends-report-q2-2024\/113275\/\" rel=\"noopener noreferrer nofollow\">\u041b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u0438\u0438 \u041a\u0430\u0441\u043f\u0435\u0440\u0441\u043a\u043e\u0433\u043e<\/a>\u00bb \u0438 <a href=\"http:\/\/BI.Zone\" rel=\"noopener noreferrer nofollow\">BI.Zone<\/a> \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u043b\u0438 \u043e \u0433\u0440\u0443\u043f\u043f\u0438\u0440\u043e\u0432\u043a\u0435 <a href=\"https:\/\/xakep.ru\/2025\/04\/15\/goffee\/\" rel=\"noopener noreferrer nofollow\">GOFFEE<\/a> (Paper Werewolf). \u0412 \u043a\u043e\u043d\u0446\u0435 \u043c\u0430\u044f \u043c\u044b \u0441\u043d\u043e\u0432\u0430 \u0444\u0438\u043a\u0441\u0438\u0440\u0443\u0435\u043c \u0435\u0435 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c, \u043d\u043e \u043d\u0435\u043c\u043d\u043e\u0433\u043e \u0432 \u0434\u0440\u0443\u0433\u043e\u043c \u043e\u0431\u043b\u0438\u0447\u0438\u0438 \u2014 \u043c\u043e\u0436\u043d\u043e \u0441\u043a\u0430\u0437\u0430\u0442\u044c, \u0432 \u043d\u043e\u0432\u043e\u0439 \u043e\u0432\u0435\u0447\u044c\u0435\u0439 \u0448\u043a\u0443\u0440\u0435. \u042f \u041d\u0438\u043a\u0438\u0442\u0430 \u041f\u043e\u043b\u043e\u0441\u0443\u0445\u0438\u043d, \u0432\u0435\u0434\u0443\u0449\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a \u0446\u0435\u043d\u0442\u0440\u0430 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u0430 \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a\u0438 RED Security SOC, \u0438 \u044f \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0443, \u043a\u0430\u043a \u0441\u0435\u0439\u0447\u0430\u0441 \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u0435\u0442 GOFFEE \u0438 \u043a\u0430\u043a \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0438\u0445 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u0432 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435. <\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/47d\/bf2\/41c\/47dbf241c821de266ba6d3d6b6afacaf.png\" width=\"1920\" height=\"1080\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/47d\/bf2\/41c\/47dbf241c821de266ba6d3d6b6afacaf.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/47d\/bf2\/41c\/47dbf241c821de266ba6d3d6b6afacaf.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h2>\u0427\u0442\u043e \u0438\u0437\u043c\u0435\u043d\u0438\u043b\u043e\u0441\u044c?<\/h2>\n<p>\u0418\u0442\u0430\u043a, \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u043a \u0433\u043b\u0430\u0432\u043d\u043e\u043c\u0443:<\/p>\n<ul>\n<li>\n<p>\u0423 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u0432\u043e \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0438 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u043e\u0433\u043e \u043f\u0438\u0441\u044c\u043c\u0430 \u0438\u043c\u0435\u0435\u0442\u0441\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u044b\u0445 \u0448\u0430\u0431\u043b\u043e\u043d\u043e\u0432 \u0421VE-2017-0199. \u041f\u043e\u043b\u0435\u0437\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430, \u043a\u0430\u043a \u0438 \u0440\u0430\u043d\u0435\u0435, \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432 \u0441\u0430\u043c\u043e\u043c \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435, \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0432 base64, \u043d\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043c\u0430\u043a\u0440\u043e\u0441, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0435\u0435, \u0442\u0435\u043f\u0435\u0440\u044c \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u0448\u0430\u0431\u043b\u043e\u043d\u0435.<\/p>\n<\/li>\n<li>\n<p>PowerModul \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043e\u0441\u043d\u043e\u0432\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0432 \u043f\u0430\u043c\u044f\u0442\u044c \u0447\u0435\u0440\u0435\u0437 [System.Reflection.Assembly]::Load, \u0447\u0442\u043e \u043d\u0435 \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u043b\u043e\u0441\u044c \u0432 \u0430\u0442\u0430\u043a\u0430\u0445 \u044d\u0442\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u0438\u0440\u043e\u0432\u043a\u0438 \u0432 \u043f\u0440\u043e\u0448\u043b\u043e\u043c.<\/p>\n<\/li>\n<\/ul>\n<p>\u0410 \u0442\u0435\u043f\u0435\u0440\u044c \u2014 \u0440\u0430\u0437\u0431\u043e\u0440.<\/p>\n<h2>\u042d\u0442\u0430\u043f 1. \u0410\u043d\u0430\u043b\u0438\u0437 \u0444\u0438\u0448\u0438\u043d\u0433\u0430<\/h2>\n<p>\u041a\u0430\u043a \u0438 \u0440\u0430\u043d\u0435\u0435, \u0432\u0441\u0435 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u0438\u0441\u044c\u043c\u0430 \u0441 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c. \u041c\u044b \u0443\u0432\u0438\u0434\u0435\u043b\u0438, \u043a\u0430\u043a \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u043a\u0430\u043c \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438-\u0436\u0435\u0440\u0442\u0432\u044b \u0431\u044b\u043b\u0438 \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u044b \u0434\u0432\u0430 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 Microsoft Word: <\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e3f\/493\/e1b\/e3f493e1bab960b8917a9ad5254c7c9d.png\" width=\"628\" height=\"107\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/e3f\/493\/e1b\/e3f493e1bab960b8917a9ad5254c7c9d.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e3f\/493\/e1b\/e3f493e1bab960b8917a9ad5254c7c9d.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/f12\/c0d\/e22\/f12c0de225b4ac678349c134936eb26d.png\" alt=\"FSTEK_100_233_ot_22_05.docx\" title=\"FSTEK_100_233_ot_22_05.docx\" width=\"812\" height=\"1073\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/f12\/c0d\/e22\/f12c0de225b4ac678349c134936eb26d.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/f12\/c0d\/e22\/f12c0de225b4ac678349c134936eb26d.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/p>\n<div><figcaption>FSTEK_100_233_ot_22_05.docx<\/figcaption><\/div>\n<\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/bd5\/808\/caf\/bd5808caf2d9522ec97aebb444af975e.png\" alt=\"TO2.docx\" title=\"TO2.docx\" width=\"1026\" height=\"728\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/bd5\/808\/caf\/bd5808caf2d9522ec97aebb444af975e.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/bd5\/808\/caf\/bd5808caf2d9522ec97aebb444af975e.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/p>\n<div><figcaption>TO2.docx<\/figcaption><\/div>\n<\/figure>\n<p>\u041f\u0440\u0438 \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u0438 \u0444\u0430\u0439\u043b\u043e\u0432 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2017-0199\" rel=\"noopener noreferrer nofollow\">CVE-2017-0199<\/a> \u0438 \u0441 C2-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0448\u0430\u0431\u043b\u043e\u043d \u0441 \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u043d\u044b\u043c \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u043c:<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/45b\/e00\/3a5\/45be003a57cf45caef3b53d5a4044dc7.png\" width=\"833\" height=\"197\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/45b\/e00\/3a5\/45be003a57cf45caef3b53d5a4044dc7.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/45b\/e00\/3a5\/45be003a57cf45caef3b53d5a4044dc7.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d2d\/b87\/840\/d2db87840ec43899f0f17faab07c7fca.png\" width=\"544\" height=\"274\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/d2d\/b87\/840\/d2db87840ec43899f0f17faab07c7fca.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d2d\/b87\/840\/d2db87840ec43899f0f17faab07c7fca.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h2>\u042d\u0442\u0430\u043f 2. \u0410\u043d\u0430\u043b\u0438\u0437 \u043c\u0430\u043a\u0440\u043e\u0441\u0430<\/h2>\n<p>\u0421\u0430\u043c \u0448\u0430\u0431\u043b\u043e\u043d \u043d\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0438\u043a\u0430\u043a\u043e\u0439 \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u0438, \u0430 \u0432\u043e\u0442 \u043c\u0430\u043a\u0440\u043e\u0441 \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u0438\u0437\u0443\u0447\u0438\u0442\u044c:<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/855\/0e5\/59d\/8550e559d8ffa2fd504a80e3183a01c4.png\" width=\"825\" height=\"102\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/855\/0e5\/59d\/8550e559d8ffa2fd504a80e3183a01c4.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/855\/0e5\/59d\/8550e559d8ffa2fd504a80e3183a01c4.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0414\u0430\u043c\u043f\u0438\u043c \u0435\u0433\u043e \u043a\u043e\u0434 \u0447\u0435\u0440\u0435\u0437 \u043a\u043e\u043c\u0430\u043d\u0434\u0443<em> oledump -s A3 -v curling &gt; macros.txt <\/em><\/p>\n<p>\u041d\u0430 \u0441\u0442\u0430\u0440\u0442\u0435 \u043c\u0430\u043a\u0440\u043e\u0441 \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u0438\u0437 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443, \u043d\u0430\u0447\u0438\u043d\u0430\u044f \u0441 \u043f\u043e\u043b\u044f <strong>MS_Office_RSA_Digital_Signature<\/strong>. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u043e\u043d\u0430 \u0440\u0430\u0437\u0434\u0435\u043b\u0435\u043d\u0430 \u043d\u0430 \u0434\u0432\u0435 \u0447\u0430\u0441\u0442\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 <strong>CONTROL_PKI<\/strong>. \u0417\u0430\u0442\u0435\u043c \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0435\u0435 \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0438\u0437 base64 (\u0432\u043d\u0443\u0442\u0440\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u0430 \u00ab\u0437\u0430\u0448\u0438\u0442\u0430\u00bb \u043d\u0443\u0436\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f) \u0438 \u0437\u0430\u043f\u0438\u0441\u044c \u0447\u0430\u0441\u0442\u0435\u0439 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0432 \u0434\u0432\u0430 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u0430 <strong>IconStorageConfig.cfg <\/strong>\u0438 <strong>IconStorageConfig.cfg.hta <\/strong>\u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \u043f\u0440\u043e\u0444\u0438\u043b\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f: <\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/69d\/190\/eff\/69d190eff33f4df68156b781ab773088.png\" width=\"832\" height=\"959\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/69d\/190\/eff\/69d190eff33f4df68156b781ab773088.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/69d\/190\/eff\/69d190eff33f4df68156b781ab773088.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0414\u0430\u043b\u0435\u0435 \u043c\u0430\u043a\u0440\u043e\u0441 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 hta-\u0444\u0430\u0438\u0306\u043b \u0432 \u043a\u043b\u044e\u0447 <strong>HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\LOAD<\/strong>:<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d3b\/2e6\/f95\/d3b2e6f9538243be9a14efeac81fd4f2.png\" width=\"1094\" height=\"260\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/d3b\/2e6\/f95\/d3b2e6f9538243be9a14efeac81fd4f2.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d3b\/2e6\/f95\/d3b2e6f9538243be9a14efeac81fd4f2.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0421\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u0430\u044f \u0442\u0435\u0445\u043d\u0438\u043a\u0430 \u0434\u043b\u044f GOFFEE.<\/p>\n<h2>\u042d\u0442\u0430\u043f 3. \u0410\u043d\u0430\u043b\u0438\u0437 hta-\u0444\u0430\u0439\u043b\u0430<\/h2>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/509\/df9\/f56\/509df9f56922055feea9660019deecf9.png\" width=\"1653\" height=\"478\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/509\/df9\/f56\/509df9f56922055feea9660019deecf9.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/509\/df9\/f56\/509df9f56922055feea9660019deecf9.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u041a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0432\u0438\u0434\u0435\u0442\u044c, hta-\u0444\u0430\u0439\u043b \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"http:\/\/Obfuscator.io\" rel=\"noopener noreferrer nofollow\">Obfuscator.io<\/a>. <a href=\"https:\/\/obf-io.deobfuscate.io\/\" rel=\"noopener noreferrer nofollow\">\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u0432<\/a> \u0441\u043a\u0440\u0438\u043f\u0442, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c:<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/a7b\/fd7\/3c9\/a7bfd73c97c19d2fc01d9462fbed1578.png\" width=\"655\" height=\"722\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/a7b\/fd7\/3c9\/a7bfd73c97c19d2fc01d9462fbed1578.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/a7b\/fd7\/3c9\/a7bfd73c97c19d2fc01d9462fbed1578.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0417\u0434\u0435\u0441\u044c \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u0443\u044e \u043c\u0430\u0442\u0440\u0435\u0448\u043a\u0443 \u0434\u043b\u044f GOFFEE. \u0421\u043d\u0430\u0447\u0430\u043b\u0430 \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u0444\u0430\u0439\u043b <strong>C:\\\\Users\\\\localadmin\\\\IconStorageConfig.cfg.jse<\/strong>. \u0410 \u0442\u0435\u043f\u0435\u0440\u044c \u0441\u043b\u0435\u0434\u0438\u0442\u0435 \u0437\u0430 \u0440\u0443\u043a\u0430\u043c\u0438: \u043e\u043d \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 cscript, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0447\u0435\u0440\u0435\u0437 wmi \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u043d\u043e\u0432\u044b\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441, \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u044e\u0449\u0438\u0439 powershell, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 cfg-\u0444\u0430\u0438\u0306\u043b\u0430. <\/p>\n<p>\u0418\u0434\u0435\u043c \u0432 cfg-\u0444\u0430\u0438\u0306\u043b \u2014 \u0442\u0430\u043c base64 payload:<\/p>\n<pre><code class=\"powershell\">$content=\"QWRkLVR5cGUgQCI0ZW0uTmV&lt;\u0417\u0434\u0435\u0441\u044c \u0435\u0449\u0435 \u043c\u043d\u043e\u0433\u043e base64&gt;VwdGlvbjsNCn0=\"; $bytes = [System.Convert]::FromBase64String($content);$code = [System.Text.Encoding]::UTF8.GetString($bytes);iex $code; <\/code><\/pre>\n<p>\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u0432 \u0441\u043a\u0440\u0438\u043f\u0442, \u043c\u044b \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u0438, \u0447\u0442\u043e \u043e\u043d:\u00a0<\/p>\n<ol>\n<li>\n<p>\u041e\u0442\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 SSL \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432 \u0447\u0435\u0440\u0435\u0437 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0443 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432.\u00a0<\/p>\n<\/li>\n<li>\n<p>\u041f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 mutex 87325266-ddce-4bf7-b428-e13abbbe982b \u0438 \u043e\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043f\u0440\u0438 \u0435\u0433\u043e \u043d\u0430\u043b\u0438\u0447\u0438\u0438. \u041c\u044b \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u043c \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u0436\u0435\u0440\u0442\u0432\u044b.<\/p>\n<\/li>\n<li>\n<p>\u0421\u043e\u0431\u0438\u0440\u0430\u0435\u0442 \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0438 \u0445\u043e\u0441\u0442\u043d\u0435\u0438\u0306\u043c, \u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0438\u0445 \u0432 base64 \u0438 \u0440\u0430\u0437\u0434\u0435\u043b\u044f\u0435\u0442 \u0437\u043d\u0430\u043a\u043e\u043c \/.\u00a0<\/p>\n<\/li>\n<li>\n<p>\u041f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442 \u0437\u0430\u043f\u0440\u043e\u0441 \u043d\u0430 C2 \u043f\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c\u0443 URL: <br \/>https:\/\/TributeTropic[.org\/thickfog\/<br \/>87325266-ddce-4bf7-b428-e13abbbe982b\/&lt;\u0437\u0434\u0435\u0441\u044c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435, \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u043e\u0435 \u043d\u0430 \u044d\u0442\u0430\u043f\u0435 3&gt;. \u0418\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e, \u0447\u0442\u043e \u0432 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435, \u0433\u0434\u0435 \u0448\u0430\u0431\u043b\u043e\u043d \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u043b\u0441\u044f \u0441 \u0434\u0440\u0443\u0433\u043e\u0433\u043e C2-\u0441\u0435\u0440\u0432\u0435\u0440\u0430, \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u0443\u0445\u043e\u0434\u0438\u043b\u0438 \u043d\u0430 \u044d\u0442\u043e\u0442 \u0436\u0435 \u0440\u0435\u0441\u0443\u0440\u0441.<\/p>\n<\/li>\n<li>\n<p>\u0416\u0434\u0435\u0442 \u043e\u0442\u0432\u0435\u0442. \u0411\u0435\u0437 \u043d\u0435\u0433\u043e \u0441\u043a\u0440\u0438\u043f\u0442 \u00ab\u0441\u043f\u0438\u0442\u00bb \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u0435\u043a\u0443\u043d\u0434 (\u043e\u0442 26 \u0434\u043e 37) \u0438 \u0437\u0430\u0442\u0435\u043c \u043f\u043e\u0432\u0442\u043e\u0440\u044f\u0435\u0442 \u0437\u0430\u043f\u0440\u043e\u0441. \u041f\u043e\u043b\u0443\u0447\u0438\u0432 \u043e\u0442\u0432\u0435\u0442, \u0440\u0430\u0441\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0435\u0433\u043e \u0438\u0437 base64 \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0447\u0435\u0440\u0435\u0437 [System.Reflection.Assembly]::Load \u0432 \u043f\u0430\u043c\u044f\u0442\u0438. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043f\u043e\u043b\u0435\u0437\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u2014 \u044d\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 .Net-\u043a\u043e\u0434.<\/p>\n<\/li>\n<\/ol>\n<p>\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 Kill Chain:<\/p>\n<figure class=\"full-width\"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e54\/548\/4a6\/e545484a67ff7b4b8f2a8d7cc06115a8.png\" width=\"2302\" height=\"1150\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/e54\/548\/4a6\/e545484a67ff7b4b8f2a8d7cc06115a8.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/e54\/548\/4a6\/e545484a67ff7b4b8f2a8d7cc06115a8.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h2>\u0421\u043e\u0432\u0435\u0442\u044b \u043f\u043e \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044e<\/h2>\n<ul>\n<li>\n<p>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0445\u043e\u0441\u0442\u043e\u0432\u044b\u0435 \u0438 \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0435 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u044b \u0441 \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u044b\u043c\u0438 \u0431\u0430\u0437\u0430\u043c\u0438;<\/p>\n<\/li>\n<li>\n<p>\u041e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0442\u0438\u0440\u0443\u0439\u0442\u0435 \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u043a\u043e\u0432 \u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u0445 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u0441 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u043e\u0439 \u0438 \u0432\u043d\u0435\u0434\u0440\u044f\u0439\u0442\u0435 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u044b \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043e \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u043f\u0438\u0441\u0435\u043c (\u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0430\u0440\u0445\u0438\u0432\u044b, \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u0438 \u0438 \u0442.\u00a0\u0434.);<\/p>\n<\/li>\n<li>\n<p>\u0414\u043b\u044f \u0442\u043e\u0433\u043e \u0447\u0442\u043e\u0431\u044b \u0431\u044b\u0442\u044c \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u044b\u043c \u0432 \u0441\u0432\u043e\u0435\u0439 \u0437\u0430\u0449\u0438\u0442\u0435 24\/7, \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0439\u0442\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u0443 SOC, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043e\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e \u043f\u0440\u0435\u0441\u0435\u0447\u0435\u0442 \u043f\u043e\u0434\u043e\u0431\u043d\u044b\u0435 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u0430\u0442\u0430\u043a \u043d\u0430 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044e.<\/p>\n<\/li>\n<\/ul>\n<h2>\u0418\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438<\/h2>\n<h4>SHA256<\/h4>\n<p>ed41a4b1f989839a5ad97aaff30dbdf28aeb4fde6d3068a96cb83da27d298d5d FSTEK_100_233_ot_22_05.docx<\/p>\n<p>580839bf75b910a2251f21f1cea006c6f1e84fcde03b696a7e8b163278042b80 TO2.docx<\/p>\n<p>1dcbf2774f505b45368ff0541da4117dce0e4763b85d9ccba20e7298b2425ec9 curling<\/p>\n<p>2318600c7bd150e8bf06b0301635598cc799ce2a9a60308027eb63a033f97ceb IconStorageConfig.cfg<\/p>\n<p>9641870ec560c0463d86f482cbd1cb6ea34c3db23d40ad80833cd59739cd33b6 IconStorageConfig.cfg.hta.<\/p>\n<p>677e4f461dca20c6e24efbefd47b115722b2eafbd2dc00718c08a393e687bd80 IconStorageConfig.cfg<\/p>\n<p>faf35266966ce5432b312d4120cafd95f1c6187db0f1f4b6d6c579c339d66f55 IconStorageConfig.cfg.hta<\/p>\n<h4>Filename<\/h4>\n<p>C:\\Users\\&lt;username&gt;\\IconStorageConfig.cfg.hta\u00a0<br \/>C:\\Users\\&lt;username&gt;\\IconStorageConfig.cfg<br \/>C:\\Users\\localadmin\\IconStorageConfig.cfg.jse<\/p>\n<h4>Registry<\/h4>\n<p>HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\<br \/>LOAD = C:\\Users\\&lt;username&gt;\\IconStorageConfig.cfg.hta\u00a0<\/p>\n<h4>C2<\/h4>\n<p>tributetropic[.org<br \/>barrelize[.org<\/p>\n<h4>URL<\/h4>\n<p>\\thickfog\\[0-9a-fA-F]{8}\\b-[0-9a-fA-F]{4}\\b-[0-9a-fA-F]{4}\\b-[0-9a-fA-F]{4}\\b-[0-9a-fA-F]{12}<\/p>\n<\/div>\n<\/div>\n<\/div>\n<p><!----><!----><\/div>\n<p><!----><!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/915300\/\"> https:\/\/habr.com\/ru\/articles\/915300\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u0412 \u043f\u0440\u043e\u0448\u043b\u043e\u043c \u0438 \u043d\u044b\u043d\u0435\u0448\u043d\u0435\u043c \u0433\u043e\u0434\u0443 \u043a\u043e\u043b\u043b\u0435\u0433\u0438 \u0438\u0437 \u00ab<a href=\"https:\/\/securelist.com\/apt-trends-report-q2-2024\/113275\/\" rel=\"noopener noreferrer nofollow\">\u041b\u0430\u0431\u043e\u0440\u0430\u0442\u043e\u0440\u0438\u0438 \u041a\u0430\u0441\u043f\u0435\u0440\u0441\u043a\u043e\u0433\u043e<\/a>\u00bb \u0438 <a href=\"http:\/\/BI.Zone\" rel=\"noopener noreferrer nofollow\">BI.Zone<\/a> \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u043b\u0438 \u043e \u0433\u0440\u0443\u043f\u043f\u0438\u0440\u043e\u0432\u043a\u0435 <a href=\"https:\/\/xakep.ru\/2025\/04\/15\/goffee\/\" rel=\"noopener noreferrer nofollow\">GOFFEE<\/a> (Paper Werewolf). \u0412 \u043a\u043e\u043d\u0446\u0435 \u043c\u0430\u044f \u043c\u044b \u0441\u043d\u043e\u0432\u0430 \u0444\u0438\u043a\u0441\u0438\u0440\u0443\u0435\u043c \u0435\u0435 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c, \u043d\u043e \u043d\u0435\u043c\u043d\u043e\u0433\u043e \u0432 \u0434\u0440\u0443\u0433\u043e\u043c \u043e\u0431\u043b\u0438\u0447\u0438\u0438 \u2014 \u043c\u043e\u0436\u043d\u043e \u0441\u043a\u0430\u0437\u0430\u0442\u044c, \u0432 \u043d\u043e\u0432\u043e\u0439 \u043e\u0432\u0435\u0447\u044c\u0435\u0439 \u0448\u043a\u0443\u0440\u0435. \u042f \u041d\u0438\u043a\u0438\u0442\u0430 \u041f\u043e\u043b\u043e\u0441\u0443\u0445\u0438\u043d, \u0432\u0435\u0434\u0443\u0449\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a \u0446\u0435\u043d\u0442\u0440\u0430 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0438 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u0430 \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a\u0438 RED Security SOC, \u0438 \u044f \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0443, \u043a\u0430\u043a \u0441\u0435\u0439\u0447\u0430\u0441 \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u0435\u0442 GOFFEE \u0438 \u043a\u0430\u043a \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0438\u0445 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u0432 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435. <\/p>\n<figure class=\"full-width\"><\/figure>\n<h2>\u0427\u0442\u043e \u0438\u0437\u043c\u0435\u043d\u0438\u043b\u043e\u0441\u044c?<\/h2>\n<p>\u0418\u0442\u0430\u043a, \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u043a \u0433\u043b\u0430\u0432\u043d\u043e\u043c\u0443:<\/p>\n<ul>\n<li>\n<p>\u0423 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u0432\u043e \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0438 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u043e\u0433\u043e \u043f\u0438\u0441\u044c\u043c\u0430 \u0438\u043c\u0435\u0435\u0442\u0441\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u044b\u0445 \u0448\u0430\u0431\u043b\u043e\u043d\u043e\u0432 \u0421VE-2017-0199. \u041f\u043e\u043b\u0435\u0437\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430, \u043a\u0430\u043a \u0438 \u0440\u0430\u043d\u0435\u0435, \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432 \u0441\u0430\u043c\u043e\u043c \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435, \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0432 base64, \u043d\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043c\u0430\u043a\u0440\u043e\u0441, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0435\u0435, \u0442\u0435\u043f\u0435\u0440\u044c \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u0448\u0430\u0431\u043b\u043e\u043d\u0435.<\/p>\n<\/li>\n<li>\n<p>PowerModul \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043e\u0441\u043d\u043e\u0432\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0432 \u043f\u0430\u043c\u044f\u0442\u044c \u0447\u0435\u0440\u0435\u0437 [System.Reflection.Assembly]::Load, \u0447\u0442\u043e \u043d\u0435 \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u043b\u043e\u0441\u044c \u0432 \u0430\u0442\u0430\u043a\u0430\u0445 \u044d\u0442\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u0438\u0440\u043e\u0432\u043a\u0438 \u0432 \u043f\u0440\u043e\u0448\u043b\u043e\u043c.<\/p>\n<\/li>\n<\/ul>\n<p>\u0410 \u0442\u0435\u043f\u0435\u0440\u044c \u2014 \u0440\u0430\u0437\u0431\u043e\u0440.<\/p>\n<h2>\u042d\u0442\u0430\u043f 1. \u0410\u043d\u0430\u043b\u0438\u0437 \u0444\u0438\u0448\u0438\u043d\u0433\u0430<\/h2>\n<p>\u041a\u0430\u043a \u0438 \u0440\u0430\u043d\u0435\u0435, \u0432\u0441\u0435 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u0438\u0441\u044c\u043c\u0430 \u0441 \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c. \u041c\u044b \u0443\u0432\u0438\u0434\u0435\u043b\u0438, \u043a\u0430\u043a \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u043a\u0430\u043c \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438-\u0436\u0435\u0440\u0442\u0432\u044b \u0431\u044b\u043b\u0438 \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u044b \u0434\u0432\u0430 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 Microsoft Word: <\/p>\n<figure class=\"full-width\"><\/figure>\n<figure class=\"full-width\">\n<div><figcaption>FSTEK_100_233_ot_22_05.docx<\/figcaption><\/div>\n<\/figure>\n<figure class=\"full-width\">\n<div><figcaption>TO2.docx<\/figcaption><\/div>\n<\/figure>\n<p>\u041f\u0440\u0438 \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u0438 \u0444\u0430\u0439\u043b\u043e\u0432 \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2017-0199\" rel=\"noopener noreferrer nofollow\">CVE-2017-0199<\/a> \u0438 \u0441 C2-\u0441\u0435\u0440\u0432\u0435\u0440\u0430 \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0448\u0430\u0431\u043b\u043e\u043d \u0441 \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u043d\u044b\u043c \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u043c:<\/p>\n<figure class=\"full-width\"><\/figure>\n<figure class=\"full-width\"><\/figure>\n<h2>\u042d\u0442\u0430\u043f 2. \u0410\u043d\u0430\u043b\u0438\u0437 \u043c\u0430\u043a\u0440\u043e\u0441\u0430<\/h2>\n<p>\u0421\u0430\u043c \u0448\u0430\u0431\u043b\u043e\u043d \u043d\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0438\u043a\u0430\u043a\u043e\u0439 \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u0438, \u0430 \u0432\u043e\u0442 \u043c\u0430\u043a\u0440\u043e\u0441 \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u0438\u0437\u0443\u0447\u0438\u0442\u044c:<\/p>\n<figure class=\"full-width\"><\/figure>\n<p>\u0414\u0430\u043c\u043f\u0438\u043c \u0435\u0433\u043e \u043a\u043e\u0434 \u0447\u0435\u0440\u0435\u0437 \u043a\u043e\u043c\u0430\u043d\u0434\u0443<em> oledump -s A3 -v curling &gt; macros.txt <\/em><\/p>\n<p>\u041d\u0430 \u0441\u0442\u0430\u0440\u0442\u0435 \u043c\u0430\u043a\u0440\u043e\u0441 \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0435\u0442 \u0438\u0437 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443, \u043d\u0430\u0447\u0438\u043d\u0430\u044f \u0441 \u043f\u043e\u043b\u044f <strong>MS_Office_RSA_Digital_Signature<\/strong>. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u043e\u043d\u0430 \u0440\u0430\u0437\u0434\u0435\u043b\u0435\u043d\u0430 \u043d\u0430 \u0434\u0432\u0435 \u0447\u0430\u0441\u0442\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 <strong>CONTROL_PKI<\/strong>. \u0417\u0430\u0442\u0435\u043c \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0435\u0435 \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0438\u0437 base64 (\u0432\u043d\u0443\u0442\u0440\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u0430 \u00ab\u0437\u0430\u0448\u0438\u0442\u0430\u00bb \u043d\u0443\u0436\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f) \u0438 \u0437\u0430\u043f\u0438\u0441\u044c \u0447\u0430\u0441\u0442\u0435\u0439 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0432 \u0434\u0432\u0430 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u0430 <strong>IconStorageConfig.cfg <\/strong>\u0438 <strong>IconStorageConfig.cfg.hta <\/strong>\u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \u043f\u0440\u043e\u0444\u0438\u043b\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f: <\/p>\n<figure class=\"full-width\"><\/figure>\n<p>\u0414\u0430\u043b\u0435\u0435 \u043c\u0430\u043a\u0440\u043e\u0441 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 hta-\u0444\u0430\u0438\u0306\u043b \u0432 \u043a\u043b\u044e\u0447 <strong>HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\LOAD<\/strong>:<\/p>\n<figure class=\"full-width\"><\/figure>\n<p>\u0421\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u0430\u044f \u0442\u0435\u0445\u043d\u0438\u043a\u0430 \u0434\u043b\u044f GOFFEE.<\/p>\n<h2>\u042d\u0442\u0430\u043f 3. \u0410\u043d\u0430\u043b\u0438\u0437 hta-\u0444\u0430\u0439\u043b\u0430<\/h2>\n<figure class=\"full-width\"><\/figure>\n<p>\u041a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0432\u0438\u0434\u0435\u0442\u044c, hta-\u0444\u0430\u0439\u043b \u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u043d \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c <a href=\"http:\/\/Obfuscator.io\" rel=\"noopener noreferrer nofollow\">Obfuscator.io<\/a>. <a href=\"https:\/\/obf-io.deobfuscate.io\/\" rel=\"noopener noreferrer nofollow\">\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u0432<\/a> \u0441\u043a\u0440\u0438\u043f\u0442, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c:<\/p>\n<figure class=\"full-width\"><\/figure>\n<p>\u0417\u0434\u0435\u0441\u044c \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u0443\u044e \u043c\u0430\u0442\u0440\u0435\u0448\u043a\u0443 \u0434\u043b\u044f GOFFEE. \u0421\u043d\u0430\u0447\u0430\u043b\u0430 \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u0444\u0430\u0439\u043b <strong>C:\\\\Users\\\\localadmin\\\\IconStorageConfig.cfg.jse<\/strong>. \u0410 \u0442\u0435\u043f\u0435\u0440\u044c \u0441\u043b\u0435\u0434\u0438\u0442\u0435 \u0437\u0430 \u0440\u0443\u043a\u0430\u043c\u0438: \u043e\u043d \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 cscript, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0447\u0435\u0440\u0435\u0437 wmi \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u043d\u043e\u0432\u044b\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441, \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u044e\u0449\u0438\u0439 powershell, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 cfg-\u0444\u0430\u0438\u0306\u043b\u0430. <\/p>\n<p>\u0418\u0434\u0435\u043c \u0432 cfg-\u0444\u0430\u0438\u0306\u043b \u2014 \u0442\u0430\u043c base64 payload:<\/p>\n<pre><code class=\"powershell\">$content=\"QWRkLVR5cGUgQCI0ZW0uTmV&lt;\u0417\u0434\u0435\u0441\u044c \u0435\u0449\u0435 \u043c\u043d\u043e\u0433\u043e base64&gt;VwdGlvbjsNCn0=\"; $bytes = [System.Convert]::FromBase64String($content);$code = [System.Text.Encoding]::UTF8.GetString($bytes);iex $code; <\/code><\/pre>\n<p>\u0414\u0435\u043e\u0431\u0444\u0443\u0441\u0446\u0438\u0440\u043e\u0432\u0430\u0432 \u0441\u043a\u0440\u0438\u043f\u0442, \u043c\u044b \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u0438, \u0447\u0442\u043e \u043e\u043d:\u00a0<\/p>\n<ol>\n<li>\n<p>\u041e\u0442\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 SSL \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432 \u0447\u0435\u0440\u0435\u0437 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0443 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432.\u00a0<\/p>\n<\/li>\n<li>\n<p>\u041f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 mutex 87325266-ddce-4bf7-b428-e13abbbe982b \u0438 \u043e\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043f\u0440\u0438 \u0435\u0433\u043e \u043d\u0430\u043b\u0438\u0447\u0438\u0438. \u041c\u044b \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u0430\u0433\u0430\u0435\u043c, \u0447\u0442\u043e \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u043c \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u0436\u0435\u0440\u0442\u0432\u044b.<\/p>\n<\/li>\n<li>\n<p>\u0421\u043e\u0431\u0438\u0440\u0430\u0435\u0442 \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0438 \u0445\u043e\u0441\u0442\u043d\u0435\u0438\u0306\u043c, \u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0438\u0445 \u0432 base64 \u0438 \u0440\u0430\u0437\u0434\u0435\u043b\u044f\u0435\u0442 \u0437\u043d\u0430\u043a\u043e\u043c \/.\u00a0<\/p>\n<\/li>\n<li>\n<p>\u041f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442 \u0437\u0430\u043f\u0440\u043e\u0441 \u043d\u0430 C2 \u043f\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c\u0443 URL: <br \/>https:\/\/TributeTropic[.org\/thickfog\/<br \/>87325266-ddce-4bf7-b428-e13abbbe982b\/&lt;\u0437\u0434\u0435\u0441\u044c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435, \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u043e\u0435 \u043d\u0430 \u044d\u0442\u0430\u043f\u0435 3&gt;. \u0418\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e, \u0447\u0442\u043e \u0432 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435, \u0433\u0434\u0435 \u0448\u0430\u0431\u043b\u043e\u043d \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u043b\u0441\u044f \u0441 \u0434\u0440\u0443\u0433\u043e\u0433\u043e C2-\u0441\u0435\u0440\u0432\u0435\u0440\u0430, \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u0443\u0445\u043e\u0434\u0438\u043b\u0438 \u043d\u0430 \u044d\u0442\u043e\u0442 \u0436\u0435 \u0440\u0435\u0441\u0443\u0440\u0441.<\/p>\n<\/li>\n<li>\n<p>\u0416\u0434\u0435\u0442 \u043e\u0442\u0432\u0435\u0442. \u0411\u0435\u0437 \u043d\u0435\u0433\u043e \u0441\u043a\u0440\u0438\u043f\u0442 \u00ab\u0441\u043f\u0438\u0442\u00bb \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u0435\u043a\u0443\u043d\u0434 (\u043e\u0442 26 \u0434\u043e 37) \u0438 \u0437\u0430\u0442\u0435\u043c \u043f\u043e\u0432\u0442\u043e\u0440\u044f\u0435\u0442 \u0437\u0430\u043f\u0440\u043e\u0441. \u041f\u043e\u043b\u0443\u0447\u0438\u0432 \u043e\u0442\u0432\u0435\u0442, \u0440\u0430\u0441\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u0442 \u0435\u0433\u043e \u0438\u0437 base64 \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0447\u0435\u0440\u0435\u0437 [System.Reflection.Assembly]::Load \u0432 \u043f\u0430\u043c\u044f\u0442\u0438. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043f\u043e\u043b\u0435\u0437\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u2014 \u044d\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 .Net-\u043a\u043e\u0434.<\/p>\n<\/li>\n<\/ol>\n<p>\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 Kill Chain:<\/p>\n<figure class=\"full-width\"><\/figure>\n<h2>\u0421\u043e\u0432\u0435\u0442\u044b \u043f\u043e \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044e<\/h2>\n<ul>\n<li>\n<p>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0445\u043e\u0441\u0442\u043e\u0432\u044b\u0435 \u0438 \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0435 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u044b \u0441 \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u044b\u043c\u0438 \u0431\u0430\u0437\u0430\u043c\u0438;<\/p>\n<\/li>\n<li>\n<p>\u041e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0442\u0438\u0440\u0443\u0439\u0442\u0435 \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u043a\u043e\u0432 \u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u0445 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u0441 \u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439 \u043f\u043e\u0447\u0442\u043e\u0439 \u0438 \u0432\u043d\u0435\u0434\u0440\u044f\u0439\u0442\u0435 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u044b \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043e \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u043f\u0438\u0441\u0435\u043c (\u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0430\u0440\u0445\u0438\u0432\u044b, \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u0438 \u0438 \u0442.\u00a0\u0434.);<\/p>\n<\/li>\n<li>\n<p>\u0414\u043b\u044f \u0442\u043e\u0433\u043e \u0447\u0442\u043e\u0431\u044b \u0431\u044b\u0442\u044c \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u044b\u043c \u0432 \u0441\u0432\u043e\u0435\u0439 \u0437\u0430\u0449\u0438\u0442\u0435 24\/7, \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0439\u0442\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u0443 SOC, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043e\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e \u043f\u0440\u0435\u0441\u0435\u0447\u0435\u0442 \u043f\u043e\u0434\u043e\u0431\u043d\u044b\u0435 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u0430\u0442\u0430\u043a \u043d\u0430 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044e.<\/p>\n<\/li>\n<\/ul>\n<h2>\u0418\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438<\/h2>\n<h4>SHA256<\/h4>\n<p>ed41a4b1f989839a5ad97aaff30dbdf28aeb4fde6d3068a96cb83da27d298d5d FSTEK_100_233_ot_22_05.docx<\/p>\n<p>580839bf75b910a2251f21f1cea006c6f1e84fcde03b696a7e8b163278042b80 TO2.docx<\/p>\n<p>1dcbf2774f505b45368ff0541da4117dce0e4763b85d9ccba20e7298b2425ec9 curling<\/p>\n<p>2318600c7bd150e8bf06b0301635598cc799ce2a9a60308027eb63a033f97ceb IconStorageConfig.cfg<\/p>\n<p>9641870ec560c0463d86f482cbd1cb6ea34c3db23d40ad80833cd59739cd33b6 IconStorageConfig.cfg.hta.<\/p>\n<p>677e4f461dca20c6e24efbefd47b115722b2eafbd2dc00718c08a393e687bd80 IconStorageConfig.cfg<\/p>\n<p>faf35266966ce5432b312d4120cafd95f1c6187db0f1f4b6d6c579c339d66f55 IconStorageConfig.cfg.hta<\/p>\n<h4>Filename<\/h4>\n<p>C:\\Users\\&lt;username&gt;\\IconStorageConfig.cfg.hta\u00a0<br \/>C:\\Users\\&lt;username&gt;\\IconStorageConfig.cfg<br \/>C:\\Users\\localadmin\\IconStorageConfig.cfg.jse<\/p>\n<h4>Registry<\/h4>\n<p>HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\<br \/>LOAD = C:\\Users\\&lt;username&gt;\\IconStorageConfig.cfg.hta\u00a0<\/p>\n<h4>C2<\/h4>\n<p>tributetropic[.org<br \/>barrelize[.org<\/p>\n<h4>URL<\/h4>\n<p>\\thickfog\\[0-9a-fA-F]{8}\\b-[0-9a-fA-F]{4}\\b-[0-9a-fA-F]{4}\\b-[0-9a-fA-F]{4}\\b-[0-9a-fA-F]{12}<\/p>\n<\/div>\n<\/div>\n<\/div>\n<p><!----><!----><\/div>\n<p><!----><!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/915300\/\"> https:\/\/habr.com\/ru\/articles\/915300\/<\/a><br \/><\/br><\/br><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-462500","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/462500","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=462500"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/462500\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=462500"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=462500"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=462500"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}