В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

r0 Crew (KZ)

307 membersпожаловаться на группу
2021 March 30

T

Thatskriptkid in r0 Crew (KZ)
Также в автозагрузку добавлялся следующий js скрипт, который используя WMI запускал файл GR*
источник
19:51пожаловаться#1

T

Thatskriptkid in r0 Crew (KZ)
GetObject("winmgmts:\\\\.\\root\\cimv2:Win32_Process").Create("C:\\Users\\john\\AppData\\Roaming\\ZQRUckiycX\\GRyYpiVyQV.com C:\\Users\\john\\AppData\\Roaming\\ZQRUckiycX\\uEwZHsXOv" , "C:\\Users\\john\\AppData\\Roaming\\ZQRUckiycX", null, null )
источник
19:51пожаловаться#2

T

Thatskriptkid in r0 Crew (KZ)
файл 
GRyYpiVyQV.com
это AutoIt
источник
19:52пожаловаться#3

T

Thatskriptkid in r0 Crew (KZ)
который запускал скрипт
источник
19:52пожаловаться#4

T

Thatskriptkid in r0 Crew (KZ)
если кому интересно могу скинуть
источник
19:52пожаловаться#5

T

Thatskriptkid in r0 Crew (KZ)
дальше я особо не копал, но вроде это RAT
источник
19:52пожаловаться#6

n

novitoll in r0 Crew (KZ)
Thatskriptkid
малварь в С2 сервера не стучался?
источник
19:55пожаловаться#7

T

Thatskriptkid in r0 Crew (KZ)
возможно дальше стучится
источник
19:55пожаловаться#8

T

Thatskriptkid in r0 Crew (KZ)
один из файлов RegASm это легитимный файл из net framework
источник
19:56пожаловаться#9

T

Thatskriptkid in r0 Crew (KZ)
также там есть xls файл и отдельно макрос в виде файла
источник
19:56пожаловаться#10

T

Thatskriptkid in r0 Crew (KZ)
pdf не является pdf, видимо какойто payload
источник
19:57пожаловаться#11

A

Askar in r0 Crew (KZ)
Thatskriptkid
если кому интересно могу скинуть
Сюда кидай в архиве с дефолтным пассвордом, может отсюда кто нить и качнёт.
источник
19:58пожаловаться#12

T

Thatskriptkid in r0 Crew (KZ)
output.zip
(7.65 Мб)
источник
20:02пожаловаться#13

A

Askar in r0 Crew (KZ)
Thatskriptkid
output.zip
(7.65 Мб)
👍
источник
20:02пожаловаться#14

T

Thatskriptkid in r0 Crew (KZ)
us_15_Graeber_Abusing_Windows_Management_Instrumentation_WMI_To.pdf
(1.01 Мб)
источник
20:02пожаловаться#15

T

Thatskriptkid in r0 Crew (KZ)
А это pdf
источник
20:02пожаловаться#16

T

Thatskriptkid in r0 Crew (KZ)
нормальный))
источник
20:02пожаловаться#17

T

Thatskriptkid in r0 Crew (KZ)
про WMI
источник
20:02пожаловаться#18

T

Thatskriptkid in r0 Crew (KZ)
Abusing Windows Management Instrumentation (WMI) to Build a Persistent, Asyncronous, and Fileless Backdoor
источник
20:02пожаловаться#19

A

Askar in r0 Crew (KZ)
Thatskriptkid
кстати недавно malwarehunterteam скинули вот такой фишинг
Это скорее drive by download, ибо не связано с кражей конфид данных
источник
20:03пожаловаться#20