Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

View

Николаевский Ванёк

View

Мир сегодня с "Юрий Подоляка"

View

Труха⚡️Україна

View

Николаевский Ванёк

View

ByTe [ ]f Digital Life

Black Hat Hunting center

@JMP_0x0HELL

TGlist rating

TypePublic

Verification

Not verified

Trust

Not trusted

Location

LanguageOther

Channel creation dateJun 27, 2024

Added to TGlist

Mar 13, 2025

I own this channel

History of changes

Linked chat

чат ByTe [ ]f Digital Life

Statistic of Telegram Channel ByTe [ ]f Digital Life

More details

Subscribers

173

24 hours00.2%Week

21.4%Month

5547%

Citation index

0

Mentions1Shares on channels0Mentions on channels1

Average views per post

67

12 hours680%24 hours670%48 hours940%

Engagement rate (ER)

16.42%

Reposts2Comments0Reactions9

Engagement rate by reach (ERR)

0%

24 hours0%Week0%Month

2.79%

Average views per ad post

69

1 hour00%1 – 4 hours00%4 - 24 hours00%

More details

Connect our bot to the channel to find out the gender distribution of this channel's audience.

Total posts in 24 hours

1

Dynamic

Latest posts in group "ByTe [ ]f Digital Life"

All posts

18.04.202509:42

IOC'S FROM PHISHING

Отправитель: info@14-westcostship[.]com

Тема: PP** 27005664 HAS SENTETİK PROFORMA HK

Вложение: GEN_ARKASLINE_ORIGINAL documenti_inviobolle_202503190928330337.xls

SHA-256: c7e22683149a18d8ba4f84a8406eb2c67bb19c922300f9973449ced0b7deec16

Сетевые IOC:

hxxp://212.132.101[.]120/xampp/fbv/bv/preconceptfornicepeopleswatchingaround[.]hta
hxxp://107.174.202[.]139/img/new_image[.]jpg

Будет время разберу нагрузку

#Remcos
#AgentTesla
#TA558
#SteganoArmor

31.03.202516:51

27.03.202520:41

AgADF3YAAnGBKEs

1.73 MB

25.03.202507:45

Кажется пора заканчивать с тг ботами 🕺

25.03.202507:36

IOC'S FROM PHISHING

Отправитель: borahatay@aydingroup.kz
Тема: SİNTAŞ BOYA - KAFKASTUR İHRACATI HK.
Вложение: H25-00118 IhracatBeyanname.7z
SHA-256: c8f7131e94314b42aaa9dbff83011f1f6e0508456ea1a07d779da18f3e9035ac
Cодержимое архива: H25-00118 IhracatBeyanname.bat
SHA-256: dc1ba4ebca29ad4495a29aa2877be92e0e104fde2a40fbde972a3143dab43491

Cетевуха:
bancollc[.]top
104.21.28[.]90
172.67.145[.]51
Предположительно CloudEyE

Отправитель: megha.chaturvedi@alstomgroup.com
Тема: Re: Enquiry#05241
Вложение: ORDER NAME MV MYNY IMO.arj
SHA-256: ceb8888fe756443693f63dbedd60bcaf7911f0f9f8e5af9be76cee96a62f68ff
Cодержимое архива: ORDER NAME MV MYNY IMO.exe
SHA-256: 3bf9df96547c080c337ac832dbb50f0bd779e3fe6c7ce7db47a827aa74fc4764

Cетевуха:
hxxp://hirosavva-cn[.]com/panel/uploads/Igxpjc[.]mp4
hirosavva-cn[.]com
185.253.218[.]211

Отправитель: sudhirsingh@imp-powers.com
Тема: Payment Advice - Advice Ref:[AUEOQPB274O9] / ACH credits / Customer Ref:[FZT195] / Second Party Ref:[3750]
Вложение: payment_advice.zip
SHA-256: b60c4926b8490cf57ea1dae211de68773af191b159630bac1e77573d20f77d46
Cодержимое архива: Payment_Advice.exe
SHA-256: 6571039ee502483473ecc333d22b36b7e9b0b2375d2fe62ebc518d5e56614f53

Cетевуха:
ТГ бот
snake keylogger

Отправитель: mail@pony-express.cfd
Тема: Re: Уведомление об окончании срока бесплатного хранения
Вложение: 629-8091-5614.zip
SHA-256: c00c10124650e94e7a4fe25d5ad32ca0db27306b361c1b7c13ad1f31631b7f48
Cодержимое архива: 629-8091-5614.exe
SHA-256: 05facf2fa75c9119aaea6867fa979d3001d48847843e776d7123a5542621ef02

Отправитель: adminreport1@vaproum.biz
Тема: Re: Remittance Slip Attached
Вложение: RemittanceVO23081100084673.zip
SHA-256: aff20a0a895a5322edaf911458d3dc09a2ef86b409e9819220c45ab89dbfdea5
Cодержимое архива: RemittanceVO23081100084673.js
SHA-256: 7f2d295bca7cb02c5263a780c6d6d334c0c83b926b295cb89dcdcc26b27c6906

Cетевуха:
ia600204.us.archive[.]org
Что-то скачивает с интернет архива

Если будет время и хватит знаний попробую разобрать нагрузку, потом сделать мини отчёт, если кому интересно напишите плюсик или лайк поставьте =)

17.03.202507:37

ANTI-FORENSIC WIN 💋

Рассмотрим несколько интересных методов антикриминалистики в WINDOWS

1. Очистка DNS кеша

ipconfig /flushdns >$null

2. Отключение NTFS Last Access Time

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem' -Name 'NtfsDisableLastAccessUpdate' -Value 1 -Force

NtfsDisableLastAccessUpdate = 1: при значении 1 в реестре Windows перестаёт обновлять поле «Дата последнего доступа» к файлам и папкам, когда к ним просто обращаются для чтения (не изменяя при этом содержимое).
fsutil behavior set disablelastaccess 3: дополнительная команда, которая на уровне системы (через утилиту fsutil) указывает Windows не обновлять метку времени последнего доступа.

3. Отключение Prefetch и Superfetch

Prefetch - один из значимых артефактов ОС Windows который позволяет фиксировать запуск ПО на хосте.

Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\' -Name 'EnablePrefetcher' -Value 0 -Force

Эти параметры в реестре отвечают за технологии Prefetch и Superfetch.
EnablePrefetcher = 0: при 0 Windows не будет создавать файлы-префетч для приложений (включая системные).
EnableSuperfetch = 0: Superfetch также отключается.

4. Остановка службы Windows Timeline (CDPUserSvc)

Stop-Service -Name CDPUserSvc* -Force 2>$null

CDPUserSvc (Connected Devices Platform) — сервис, который, в частности, отвечает за сбор данных для «Журнала действий», «Таймлайна» и некоторые функции синхронизации с облачными сервисами.

5. Удаление журнала USN (NTFS Change Journal)

fsutil usn deletejournal /d c: 2>$null

Команда fsutil usn deletejournal /d c: удаляет «журнал изменений» (USN Journal) на разделе C:.
Журнал USN (Update Sequence Number Journal) отслеживает все изменения на том или ином томе с файловой системой NTFS — созданы ли файлы, отредактированы, перенесены и т.д.

15.03.202503:46

IOC'S FROM PHISHING

Отправитель: info@hydrotons.eu
Тема: RE: Нова поръчка 03M4138-24
Вложение: поръчка_03M4138.docx - CVE-2017-0199 (описывается постом выше)

SHA-256: c4ca2614797569a0427242f6db7e5cc00be0d0edb358629a9350e31b5a7f4e49

Документ приманка - Microsoft_Office_Excel_Worksheet1.xlsx
 SHA-256: 32664f8fda495d4968ed02422912b16c84e1e2c83549c090c4d177ae73b81d70

Вредоносный документ:
givenbestresultswithglorryeyeshappinessgivenbestresultswithglorryeyeshappiness_givenbestresultswithglorryeyeshappiness.doc (Выполняет СVE-2017-11882) скачивается c

hxxps://kryx[.]ru/8IJcFB?&

Данные длинные и сложные символы представляют собой код несуществующего шрифта, занимающий 48 байт. Уязвимый редактор формул MW не в состоянии обработать такое количество информации, что приводит к переполнению буфера при попытке скопировать шрифтовой код в локальный буфер обмена. Программа EQNEDT32.EXE может копировать лишь 40 байт, и после завершения выполнения функции поток перейдет на адрес, необходимый злоумышленнику.
(https://github.com/rip1s/CVE-2017-11882/blob/master/CVE-2017-11882.py кому интересно как примерно генерируется нагрузка)

Дополнительные IOC

givenbestresultswithglorryeyeshappiness.hta - SHA-256: 5992f2fdd1ab49735bbaee232f58c74d251256245bf318ea7c3c34ffb471d159

hxxp://104.168.7[.]38/xampp/sv/ENCRYPTION01[.]jpg (exe в изображении)

revers loader - hxxp://213.165.70[.]90/346/givenbestresultswithglorryeyeshappiness[.]txt

213.165.70[.]90
188.225.72[.]170
104.168.7[.]38

Cудя по почерку напоминает SteganoAmor: TA558 (cкорее всего они и есть).

Подробно о них писали https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operaciya-steganoamor-ta558-massovo-atakuet-kompanii-i-gosudarstvennye-uchrezhdeniya-po-vsemu-miru/

14.03.202520:36

IOC'S FROM PHISHING

Интересный образец реализующий CVE-2017-0199

(Основная причина возникновения данного бага заключается в неправильной обработке ответов от сервера в функции Microsoft OLE (Object Linking and Embedding), предназначенной для встраивания одних документов в другие. При открытии зараженного документа приложение отправляет запрос на удаленный сервер для получения встроенного файла. Сервер, в свою очередь, возвращает специально подготовленный ответ, содержащий вредоносный файл HTA. Код из этого файла, после его загрузки, выполняется на целевой системе, что может привести к серьезным последствиям.)

Первично доставляется .doc файл в структуре которого конкретно в rels.settings.xlm (рис. 1) хранится закодированная ссылка (рис. 2) на удаленный сервис с которого скачивается документ .rtf (рис. 3)

Цепочка выполнения:

1.Злоумышленник отправляет целевому пользователю по электронной почте документ Microsoft Word со встроенным объектом ссылки OLE2.

2. Когда пользователь открывает документ, winword.exe отправляет HTTP-запрос на удаленный сервер для получения вредоносного файла HTA.

3. Файл, возвращенный сервером, является поддельным RTF-файлом со встроенным вредоносным скриптом.

4. Winword.exe ищет обработчик файла для application/hta через COM-объект, что заставляет приложение Microsoft HTA (mshta.exe) загрузить и выполнить вредоносный скрипт.

Отправитель: karina@toolhaus.ru
Тема: Досудебная претензия
Вложение: претензия.doc
SHA-256: c19dd49969ca352c8dc91326c2ab946e828c51e72cf04d64aedfa87109dc58ef
hxxp://ecols[.]ru

13.03.202509:03

144.91.79{.}54

Просто без комментариев 🔪

13.03.202508:57

IOC'S FROM PHISHING

Отправитель: noreply@vaproum.biz
Тема: Draft / 25-01217L02
Вложение: Draft Documents.rar - 0eef3cc0bd4a095afde2b55ac2da9e7399b94d7cb3c49d9ae00bb4a97a2d15e1
Полезная нагрузка: Draft Documents.vbe - 19327621882697dbaaea22aac19d398ee91756463acf36b516ca36707d4b74b6
Сетевое взаимодействие:
http://144.91.92.251/05032025/w5
144.91.92.251


Отправитель: info@vasantslabels.com
Тема: Invoice- Trikaya Bio (Shrinath Mhaskoba )
Вложение: Way bill & Invoice.zip - a229cbc112ad88ecdd91c7effac11b517ddc19d82ddff5733f5424cdb01ad78e
Полезная нагрузка: Way bill & Invoice.exe - 0c44b7da727d77d876e583f808b0673875fa804a47d62aab624e69174fa7e851
Сетевое взаимодействие:
ТГ бот

09.03.202500:00

Интересный способ обхода почтовых песочниц с помощью .svg файлов.

В .svg файлы возможно встраивать скрипты, что позволяет выполнять и декодировать полезную нагрузку.

Рассмотрим боевое письмо.
На картинке 1 мы можем увидеть как выглядит .svg в браузере, на второй картинке изображена часть .svg файла, если просматривать его через любой текстовый редактор, там мы можем увидеть закодированные base64 строки архива, на картинке 3 результат декодирования данной base64 строки и сигнатуры PK, которая характерна для zip (jar, odt, ods, odp, docx, xlsx, pptx, vsdx, apk, aar файлов (возможно какие-то форматы упустил).

После извлечения декодированного файла (в данном случае) получаем zip-архив, в самом архиве находится .js файл полезной нагрузки (картинка 4). Данная полезная нагрузка является ВПО ADwind.

Кто хочет проанализировать семпл ручками: https://any.run/report/701435e822a78b82d53281af3ffb20b3732462ec99c6f36afdfc6f8eed4123f9/552cd48d-484e-4eba-b36c-97bfca897fda

Сам частичный анализ полезной нагрузки можно почитать:
https://medium.com/@jaroslavbrtan/javascript-sample-1-13-2025-08d41e041d81

Для деобфускации:
https://deobfuscate.io/
https://obf-io.deobfuscate.io/

08.03.202523:21

Прикольный артефакт в debug info RevengeRAT darkgaboon
Видимо из за использования notepad++

05.03.202513:09

IOCS FROM PHISHING

Тема: FWD: 70% PAID
Вложение: tmpog3oyd41paid3invoices.rar
SHA-256: 2daa90e3c3b63462a0f7d8c0b76136cbf4601a1ed9eb047fac751b4c448925e9
Полезная нагрузка: PAID3INVOICES.exe
SHA-256: 9835e4db8421cf7f9ed6849bc4868d5cb3e8bfe887e88e9bc8638902ea44a025

Обращается к checkip.dyndns[.]org для проверки IP 
Проверяет свободное место на диске через GetDiskFreeSpaceA
Sleep на 600 seconds
select * from __instanceoperationevent where targetinstance isa 'antivirusproduct' or targetinstance isa 'firewallproduct' or targetinstance isa 'antispywareproduct'

Логи скидывает в telegram

05.03.202512:41

IOC'S FROM PHISHING

Тема: ALFA LAVAL RFQ -R4647
Вложение: pictures and specifications.arj
SHA-256: aba4c8496873e350fda2271601936c22b156c35dc2d9f626c092b2207347d168
Полезная нагрузка: IsPrimitive.exe
SHA-256: 1b72e6203b4d26cbe44b55e7df27b3477badd3270cf900bb13c2af47bed80516
IsPrimitive.vbs
SHA-256: 3c51d2c488b612f0f2981a400f79cae89f5af2902485dfba3064266d1b51c52d

HTTP обращение к hxxp://win32.ydns.eu/never/lookinto/it/panel/uploads/Qwprueqkjqe[.]mp3

Другие сетевые IOC:
win32.ydns.eu - 45.144.214.104
smfcs1.ydns.eu
smfcs3.ydns.eu
bin14.ydns.eu - 212.23.222.222

03.03.202503:10

IOC'S FROM PHISHING

Тема: "Уведомление об окончании срока бесплатного хранения"
Вложение: Накладная №171-8314-0617.zip
a454fdc612637e229ce1138b7a599ea2936e6ea84b1391adc38b9a5abdb6c805
 
Накладная №171-8314-0617.exe
66ee7011fdf4052fb960afdba3f30661b4cf29b99142ace75a8896a88d27183e

4ad74aab.fun - 185.159.131.10
4ad74aab.biz.ua
4ad74aab.space - 195.149.114.21
bc0324ae.biz.ua
4ad74aab.xyz

All posts

Nothing found 😢

More details

Records

17.04.202523:59

173Subscribers

31.03.202523:59

300Citation index

18.03.202523:59

198Average views per post

19.04.202523:59

81Average views per ad post

26.03.202523:59

16.42%ER

19.03.202523:59

146.77%ERR

Growth

More details

Subscribers

Citation index

Avg views per post

Avg views per ad post

ERR

More details

ByTe [ ]f Digital Life

Statistic of Telegram Channel ByTe [ ]f Digital Life

Subscribers

173

Citation index

0

Average views per post

67

Engagement rate (ER)

16.42%

Engagement rate by reach (ERR)

0%

Average views per ad post

69

1

Latest posts in group "ByTe [ ]f Digital Life"

Records

Growth

Popular posts ByTe [ ]f Digital Life

Statistic of Telegram Channel ByTe [ ]f Digital Life

Subscribers

173

Citation index

0

Average views per post

67

Engagement rate (ER)

16.42%

Engagement rate by reach (ERR)

0%

Average views per ad post

69

1