ááá¯á·á
áºááœááºá OceanLotus ááá¯ááºáá¬á¡ááœá²á· (APT32 ááŸáá·áº APT-C-00) ááẠáááŒá¬áá±ážáá®á áá°ááááŸááºááŒá¬ážáááá¯ááºáá±á¬ á¡áá¯á¶ážáá»ááŸá¯áá»á¬ážáá²á០áá
áºáá¯ááᯠáááºááá¯á·á¡áá¯á¶ážááŒá¯áá²á·áááºááᯠááŒá±á¬ááŒáá«áááºá
OceanLotus ááẠááá¯ááºáá¬áá°áá»áŸáá¯áá¯ááºááŒááºážááᯠá¡áá°ážááŒá¯ááŒá®áž áŠážá á¬ážáá±ážáá áºááŸááºáá»á¬ážááŸá¬ á¡ááŸá±á·áá±á¬ááºá¡á¬ááŸááá¯ááºáá¶áá»á¬ážááŒá áºáááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá±á¬ááºááœááºá០áá¯ááºáá±á¬ááºááẠá ááºážáá¯á¶ážááááºážááœááºážááá¯ááºááẠááŒá áºááá¯ááºáá»á±ááŸááá±á¬ áá¬ážáá±á¬ááºáá»á¬ážá á¡á¬áá¯á¶á áá¯ááºááŸá¯ááᯠááœá²áá±á¬ááºááá¯ááºááá·áº á á¬ááœááºá á¬áááºážáá»á¬ážááᯠá¡áá¯áá¯ááºáᬠáááááá¬áá»á¬áž áá®ááœááºáá±ážááá¯áááºáž áá¯ááºáá±á¬ááºááŒáááºá Honeypots áááºáá®ážáá¬ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº áááºážáááºážáá»á¬ážááẠááá°áá®áá±á¬ ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááœáẠááœá²ááŒá¬ážááẠ- "ááŸá áºáááºááá¯ážáá»á²á·ááŒááºáž" ááá¯ááºáá»á¬ážá ááá¯ááºááá¯ááºáá¯ááºáá°ááá·áº áá±á¬áºááœááºážááá¯ááºáá»á¬ážá áááºáááá¯á á¬ááœááºá á¬áááºážáá»á¬ážá áá°áááá»á¬ážáá±á¬ áá¯ááºáá°ááŸá¯áá»á¬ážá¡ááá
Microsoft Equation Editor ááœáẠexploit ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážá
2018 ááŸá
áºáááºááœáẠOceanLotus ááẠCVE-2017-11882 á¡á¬ážáááºážáá»ááºááᯠá¡áá¯á¶ážáá»áᬠáááºááááºážáá
áºáᯠáá¯ááºáá±á¬ááºáá²á·áááºá Cybergroup á á¡áá¹ááá¬ááºááŸááá±á¬ á
á¬ááœááºá
á¬áááºážáá»á¬ážáá²á០áá
áºáá¯ááᯠ360 Threat Intelligence Center á០áá»áœááºážáá»ááºáá°áá»á¬ážá ááœá²ááŒááºážá
áááºááŒá¬áá²á·ááẠ(
áááá¡áááºá·
á
á¬ááœááºá
á¬áááºáž FW Report on demonstration of former CNRP in Republic of Korea.doc
(sha-1: D1357B284C951470066AAA7A8228190B88A5C7C3
) ááẠá¡áááºáá±á¬áºááŒáá« áá±á·áá¬ááŸá¯ ááŸáá·áº áááºáá°áááºá ááá¹áá±á¬áá®ážáá¬ážááá¯ááºáá¶áá±ážááᯠá
áááºáááºá
á¬ážáá±á¬ áá¯á¶ážá
áœá²áá°áá»á¬ážá¡ááœáẠáááºááœááºááẠ(CNRP - ááá¹áá±á¬áá®ážáá¬ážá¡áá»áá¯ážáá¬áž áááºáááºáá±ážáá«áá®á 2017 ááŸá
áºáá¯ááºááœáẠáá»ááºááááºážáá²á·áááº)á .doc ááá¯ážáá»á²á·ááŸá¯ááŸááá±áá±á¬áºáááºážá á
á¬ááœááºá
á¬áááºážááẠRTF áá±á¬áºááẠ(á¡á±á¬ááºáá¯á¶ááœááºááŒáá·áºáá«)á á¡ááŸáá¯ááºáá¯ááºáá«ááŸáááŒá®áž ááŸá¯ááºááœáá±áá«áááºá
áá¯á¶ 1. RTF ááŸá á¡ááŸáá¯ááº
áá¯á¶áááŸááºáá±á¬ááŒááºá ááºáá»á¬ážááŸááá±áá±á¬áºáááºáž Word ááẠဠRTF ááá¯ááºááᯠá¡á±á¬ááºááŒááºá áœá¬ááœáá·áºááá¯ááºáááºá áá¯á¶ 2 ááœááºáááºááœá±á·ááŒááºááá¯ááºáááºá¡ááá¯ááºážá á€áá±áá¬ááœáẠá¡á±á¬á·ááºááẠ0xC00 ááœáẠEQNOLEFILEHDR áááºáá±á¬ááºáá¯á¶ááẠMTEF áá±á«ááºážá á®ážááŒáá·áºáá±á¬ááºááœáẠáá±á¬áá·áºá¡ááœáẠMTEF ááá·áºááœááºážááŸá¯ (áá¯á¶ 3) ááŒá áºáááºá
áá¯á¶ 2. FONT áááºááá¯ážáá»á¬ážááᯠááŸááºáááºážáááºáá«á
áá¯á¶ 3 á
á¡ááœááºáá»á¬áž ááŒáá·áºáá»áŸá¶áá¬ááá¯ááºáááºá áá¬ááá»á±á¬ááá¯áá°ážáá°ááŒááºážáááŒá¯áá® áááºážáá¡ááœááºá¡á
á¬ážááᯠáá
á
áºáá±ážáá±á¬ááŒá±á¬áá·áºááŒá
áºáááºá ááŸááºááœááºážáá±á¬á¡áááºááẠá¡á¬ážáááºážáá»ááºááᯠá¡á
áá»áá¯ážá
á±áááºá RTF ááá¯ááºá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬áž (áá¯á¶ 0 ááœáẠoffset 26xC2) á០áááºááœá±á·ááŒááºááá¯ááºáááºá¡ááá¯ááºážá ááŒá¬ážáá¶ááẠshellcode ááŸáá·áº ááŒáá·áºáá±ááŒá®áž áá±á¬ááºááœáẠdummy command (0x90
) ááááºá
á¬ááŒááºáá±ážáá«á 0x402114
. ááááºá
á¬ááẠááá¯ááºáá¬áá±á¬á·ááºááŒááºá
ááºáá
áºáá¯ááŒá
áºáááºá EQNEDT32.exe
ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááᯠááœáŸááºááŒáááºá RET
. áááºážááẠEIP áááºáááºáá¡á
ááᯠááœáŸááºááŒá
á±áááºá áá¬ááá»á±á¬ááá¯shellcode áá«ááŸááá«áááºá
áá¯á¶ 4á exploit shellcode áá¡á
ááááºá
ᬠ0x45BD3C
áááºááŸááááºáá±áá±á¬ááœá²á·á
ááºážáá¯á¶ááá¯á· ááœáŸááºááŒááá·áºááœáŸááºááŒáá»ááºááá¯á· áá±á¬ááºáááºá¡áá áááºááœáŸááºážáá¬ážáá±á¬ ááááºážááŸááºáá
áºáá¯ááᯠááááºážáááºážáá¬ážáááºá MTEFData
. á€ááœáẠshellcode ááá»ááºááŸááááºá
shellcode ááááºááœááºáá»ááºááŸá¬ open document ááœááºááá·áºááœááºážáá¬ážáá±á¬ shellcode ááá¯áááá¡ááá¯ááºážááá¯áá¯ááºáá±á¬ááºáááºááŒá
áºáááºá ááááŠážá
áœá¬á áá°áááºáž shellcode ááẠsystem descriptors á¡á¬ážáá¯á¶ážááᯠáááºáá±á¬ááºážááŒááºážááŒáá·áº open document á file descriptor ááᯠááŸá¬áááºááŒáá¯ážá
á¬ážááẠ(NtQuerySystemInformation
á¡ááŒááºážá¡áá¯á¶áá
áºáá¯ááŸáá·áº SystemExtendedHandleInformation
) ááá¯ááºáá®ááŸá¯ááŸááááŸá á
á
áºáá±ážáá«á PID áá±á¬áºááŒáá»ááºááŸáá·áº PID áá¯ááºáááºážá
áẠWinWord
á
á¬ááœááºá
á¬áááºážááᯠáááºááœáá·áºáá»ááºááŸá¬áá¯á¶ážááŒáá·áº ááœáá·áºáá¬ážááá¬ážá 0x12019F
.
ááŸááºáááºáá±á¬ áááºááá¯ááºááᯠááœá±á·ááŸáááŒá±á¬ááºáž á¡áááºááŒá¯ááẠ(á¡ááŒá¬ážááœáá·áºáá¬ážáá±á¬ á
á¬ááœááºá
á¬áááºážá áááºááá¯ááºááá¯ááºáá«) áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááŒáááẠCreateFileMapping
ááŸáá·áº Shellcode ááẠá
á¬ááœááºá
á¬áááºážá áá±á¬ááºáá¯á¶ážááá¯ááºáá±ážáá¯ááŸáá·áº ááá¯ááºáá®ááŸá¯ááŸááááŸá á
á
áºáá±ážáááºyyyy
» (á¥á¡áá²ááá¯ááºáááºáž)á ááá¯ááºáá®ááŸá¯áá
áºáá¯ááᯠááœá±á·ááŸááááºááŸáá·áºá á
á¬ááœááºá
á¬áááºážá¡á¬áž áá¬áá®ááá¯ááºááœá²áá
áºáá¯ááá¯á· áá°ážáá°ááẠ(GetTempPath
) áááºááá¯áá² ole.dll
. ááá¯á·áá±á¬áẠá
á¬ááœááºá
á¬áááºážá áá±á¬ááºáá¯á¶áž 12 bytes ááᯠáááºáááºá
áá¯á¶ 5. á
á¬ááœááºá
á¬áááºážá¡áá¯á¶ážáááºá¡ááŸááºá¡áá¬ážáá»á¬áž
á¡ááŸááºá¡áá¬ážáá»á¬ážá¡ááŒá¬áž 32-áá
áºáááºááá¯áž AABBCCDD
О yyyy
áá±á¬áẠshellcode á offset ááŒá
áºáááºá function áá
áºáá¯áá²á· áá±á«áºáá«áááºá CreateThread
. á¡á
á±á¬ááá¯ááºážá OceanLotus á¡ááœá²á·á០á¡áá¯á¶ážááŒá¯áá²á·ááá·áº á¡áá¬ážáá° shellcode ááᯠáá¯ááºáá°áá²á·áááºá
áá¯áááááŒá±áá±á¬ááº
á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠáá¯ááºáá°ááŒááºážá
ááá¯ááºááŸáá·áº áááºážááœáŸááºá¡áááºáá»á¬ážááᯠá¡ááºááá¯ááºá¡á¬ážááá¯áẠááœá±ážáá»ááºáá¬ážáááºá áá¯ááºááẠexecutable ááá¯á·ááá¯áẠDLL ááá¯ááºáá
áºáá¯áá¡áááºááᯠáá»áááºážááœá±ážáá»ááºáááºá C:Windowssystem32
. ááá¯á·áá±á¬áẠáááºážááẠáááºážáá¡áááºážá¡ááŒá
áºáá»á¬ážááᯠáá±á¬ááºážááá¯ááŒá®áž áááºáááºááᯠááŒááºáááºááá°áááºá FileDescription
ááá¯áá«á¡áááºá¡ááŒá
Ạá¡áá¯á¶ážááŒá¯áááºá á¡áá¯ááºááá¯ááºáá«áá áá¯ááºááẠáááºážááœáŸááºáá»á¬ážá០ááá¯ááºááœá²á¡áááºááᯠáá»áááºážááœá±ážáá»ááºáááºá %ProgramFiles%
ááá¯á·ááá¯áẠC:Windows
(GetWindowsDirectoryW ááŸ)á áááºážááẠááŸáááŒá®ážáá¬ážááá¯ááºáá»á¬ážááŸáá·áº ááœá²ááœá²ááá¯ááºááá·áº á¡áááºááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá០ááŸá±á¬ááºááŒááºááŒá®áž áááºážááœáẠá¡á±á¬ááºáá«á
áá¬ážáá¯á¶ážáá»á¬áž ááá«áááºááŒá±á¬ááºáž áá±áá»á¬á
á±áááº- windows
, Microsoft
, desktop
, system
, system32
ááá¯á·ááá¯áẠsyswow64
. áááºážááœáŸááºááŸáááŒá®ážáá¬ážááŒá
áºáá«áá "NLS_{6 á
á¬áá¯á¶áž}" ááᯠá¡áááºááœáẠáá±á«ááºážááá·áºáá¬ážáááºá
ááá¶áá¬á 0x102
ááœá²ááŒááºážá
áááºááŒá¬ááŒá®áž ááá¯ááºáá»á¬ážááᯠááœáŸáá·áºáá
áºááá¯ááºáááºá %ProgramFiles%
ááá¯á·ááá¯áẠ%AppData%
áá»áááºážááœá±ážáá»ááºáá¬ážáá±á¬ ááá¯ááºááœá²áá
áºáá¯ááá¯á·á áááºáá®ážáá»áááºááẠáá°áá®áá±á¬áááºááá¯ážáá»á¬ážá¡ááŒá
ẠááŒá±á¬ááºážáá²áá²á·áááºá kernel32.dll
.
á¥ááá¬á¡á¬ážááŒáá·áºá á€áá±áá¬ááœáẠexecutable ááá¯ááœá±ážáá»ááºááŒááºážááŒáá·áº áááºáá®ážáá¬ážáá±á¬ ááá¯ááºááœá²ááŸáá·áº ááá¯ááºáá»á¬ážá
á¬áááºážááŒá
áºáááºá C:Windowssystem32TCPSVCS.exe
áá±áá¬á¡áááºážá¡ááŒá
áºá¡ááŒá
áºá
áá¯á¶ 6. á¡áá»áá¯ážáá»áá¯ážáá±á¬ á¡á
áááºá¡ááá¯ááºážáá»á¬ážááᯠáá¯ááºáá°ááŒááºážá
á¡áááºážá¡ááŒá
áºááœá²á·á
ááºážáá¯á¶ 0x102
dropper áá²ááŸá¬ á¡áá±á¬áºáá±ážááŸá¯ááºááœá±ážáá«áááºá á¡ááá¯áá»á¯ááºá¡á¬ážááŒáá·áºá áááºážááœááºáá«áááºáááº-
- ááá¯ááºá¡áááºáá»á¬áž
- ááá¯ááºá¡ááœááºá¡á
á¬ážááŸáá·áºá¡ááŒá±á¬ááºážá¡áá¬
- ááááááºááŸá¯áá¯á¶á
ᶠ(COMPRESSION_FORMAT_LZNT1
function ááá¯á¡áá¯á¶ážááŒá¯áááºá RtlDecompressBuffer
)
áááááá¯ááºá¡ááŒá
ẠááœáŸáá·áºáá
áºááá¯ááºáááºá TCPSVCS.exe
ááá¬ážáááºáá±á¬á AcroTranscoder.exe
(á¡á FileDescription
, SHA-1- 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3
).
á¡áá»áá¯á· DLL ááá¯ááºáá»á¬ážááẠ11MB ááẠááá¯ááŒá®ážáááºááᯠáááááŒá¯áááá±áááºá á¡áááºááŒá±á¬áá·áºááá¯áá±á¬áº executable á¡ááœááºážááŸá random data á ááŒá®ážáá¬ážáá±á¬ áááºááœáŸááºáá±áá±á¬ ááŒá¬ážáá¶ááŒá¬ážáá¶ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááá¯ááºáá±á¬ááŒá±á¬áá·áºááŒá áºáááºá á€áááºááŸá¬ áá¯á¶ááŒá¯á¶áá±ážáá¯ááºáá¯ááºá¡áá»áá¯á·á០áá±á¬ááºááŸááºážááŸá¯ááᯠááŸá±á¬ááºááŸá¬ážááẠáááºážáááºážáá áºáᯠááŒá áºááá¯ááºáááºá
ááŒá²ááŒá¶ááŸá¯ááŸáá á±ááŒááºážá
ááá¶áá¬á 0x101
dropper ááœáẠáááºáá¶á·ááá¯ááºááŒá²ááŸá¯ááᯠáááºáá²á·ááá¯á· áá»áá·áºáá¯á¶ážááááºááᯠáááºááŸááºááá·áº 32-bit ááááºážááŒáá·áº ááŸá
áºáá¯áá«ááŸááááºá áááááááºááá¯ážááẠá
á®áá¶ááá·áºááœá²áá°á¡ááœáá·áºá¡áá±ážáááŸááá² malware áááºáá²á·ááá¯á· áááºáááºáááºááŸááá±áááºááᯠáááºááŸááºáá±ážáá«áááºá
ááá¬áž 1. Non-Administrator Persistence Mechanism
áá¯ááá ááááºážááŒáá·áºááááºááá¯ážááẠá á®áá¶ááá·áºááœá²áá±ážááá¯ááºáá¬á¡ááœáá·áºáá°ážáá»á¬ážááŒáá·áº áá¯ááºáá±á¬ááºááŒááºážááŒáá·áº áá²ááºáá²ááẠáááºááá¯á·áááºáááºáááºááŒá²ááŒá±á¬ááºážáá±áá»á¬á á±ááá·áºáááºááᯠáá±á¬áºááŒáááºá
Table 2. Administrator Persistence Mechanism
áááºáá±á¬ááºááŸá¯á¡áááºááẠááá¯ážáá»á²á·ááŸá¯ááá«áá² ááá¯ááºá¡áááºááŒá
áºáááºá áá±á¬áºááŒáá±á¬á¡áááºááẠááá¯ááºááœá²áá¡áááºááŒá
áºáááºá ááá¯á·áá±á¬áº áááºážááŸáááŒá®ážáá¬ážááŒá
áºáá«áá á
á¬áá¬áž âRevision 1
â (á¡áá¯á¶ážáááŒá¯áá±á¬ á¡áááºááᯠááŸá¬áááœá±á·ááá»ááºáž á¡áá±á¡ááœáẠááá¯ážáá¬áááºá áááºáá±á¬ááºááŸá¯ááŸáá
áºááá·áº áá¶ááá¯ááºáááºááŸáááŸá¯á¡á¬áž á¡á±á¬áºááá±áá¬áá»á¬ážá áááááŒá¯ááááẠ- áá»áá¯á·ááœááºážááŸá¯ááŸááá«á áááºáá±á¬ááºááŸá¯ááᯠ1 á
áá¹ááá·áºá¡ááŒá¬ááœáẠááŒááºáááºá
áááºááááºááŒá
áºáá«áááºá ááŒá®ážááẠáááºááá¯áž WOW64
áááºáá±á¬ááºááŸá¯á¡ááœáẠááŸááºáá¯á¶áááºáá®ážá¡áá
áºááᯠ4 áᯠáááºááŸááºáá¬ážááŒá®áž áááºážááẠ32-bit áááºáá±á¬ááºááŸá¯ááŒá
áºááŒá±á¬ááºáž ááœáŸááºááŒáááºá
á
á®á
ááºáá¬ážáá±á¬ á¡áá¯ááºáá
áºáá¯ááᯠCOM á¡ááºáá¬áá±á·á
áºáá»á¬ážá
áœá¬ááŸáá
áºááá·áº áááºáá®ážáááº- ITaskScheduler
, ITask
, ITaskTrigger
, IPersistFile
О ITaskScheduler
. á¡ááŒá±áá¶á¡á¬ážááŒáá·áºá áá²ááºáá²ááẠáá»áŸáá¯á·ááŸááºáá¯ááºáá±á¬ááºá
áá¬áá
áºáá¯ááᯠáááºáá®ážáᬠá¡áá±á¬áá·áºá¡áá»ááºá¡áááºááᯠáááºááŸáá¡áá¯á¶ážááŒá¯áá° ááá¯á·ááá¯áẠá
á®áá¶ááá·áºááœá²áá°á¡áá»ááºá¡áááºááŸáá·áºá¡áá° áááºááŸááºáá±ážáᬠá¡á
áá»áá¯ážááᯠáááºááŸááºáá±ážáááºá
áááºážááẠ24 áá¬áá®ááŒá¬áá»áááºááŸáá·áº 10 áááá áºá¡ááŒá±ážááŸá áºáá¯ááŒá¬ážáá¬ááá»á¬ážáá«ááŸááá±á¬áá±á·á ááºá¡áá¯ááºááŒá áºáááºá ááá¯ááá¯áááºááŸá¬áááºážáááºá¡áááºáááŒááºáááºáááºáááºááŒá áºáááºá
ááŒá¶áááºáááºážáááºáž
áá»áœááºá¯ááºááá¯á·áá¥ááá¬ááœááºá á¡áá±á¬ááºáááºáá±á¬áºááá¯ááºáááºá TCPSVCS.exe
(AcroTranscoder.exe
) ááẠáááºážááŸáá·áºá¡áá° áá»áááºážááœá¬ážáá±á¬ DLLs áá»á¬ážááᯠload áá¯ááºááá·áº ááá¬ážáááºáá±á¬á·ááºáá²ááŒá
áºáááºá á€ááá
á¹á
ááœááºáááºážáááºá
áááºáááºá
á¬ážááœááºááŒá
áºáááºá Flash Video Extension.dll
.
áááºážááá¯ááºáá±á¬ááºáá»áẠDLLMain
á¡ááŒá¬áž function ááá¯áá±á«áºáá¯á¶áá«áá²á á¡áá»áá¯á·áá±á¬ ááá±áá¬áá±á¬ ááá·áºááŸááºážáá»ááºáá»á¬áž ááŸááááº-
áá¯á¶ 7. Fuzzy ááá·áºááŸááºážáá»ááºáá»á¬áž
á€ááŸá¬ážááœááºážáá±á¬á
á
áºáá±ážááŸá¯áá»á¬ážááŒá®ážáá±á¬ááºá áá¯ááºááẠááá¹ááá
áºáá¯áááŸááááºááŒá
áºáááºá .text
ááá¯áẠTCPSVCS.exe
á áááºážá á¡áá¬á¡ááœááºááᯠááŒá±á¬ááºážáá²áááºá PAGE_EXECUTE_READWRITE
áááºážááᯠdummy ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááŒáá·áº áááºáá±ážáááº-
áá¯á¶ 8. ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááá
áºáááºáááºáž
á¡áá¯á¶ážááœáẠfunction áááááºá
ᬠFLVCore::Uninitialize(void)
, áááºááá¯á·áá²á·áááºá Flash Video Extension.dll
á ááœáŸááºááŒá¬ážáá»ááºááá¯ááá·áºááœááºážáá¬ážáááºá CALL
. ááá¯ááá¯áááºááŸá¬ á¡áá¹ááá¬ááºááŸááá±á¬ DLL ááá¯áááºááŒá®ážáá±á¬ááºá runtime áá±á«áºááá¯áá±á¬á¡áá« WinMain
в TCPSVCS.exe
ááœáŸááºááŒáá»ááºááẠNOP ááá¯á· ááœáŸááºááŒáááºááŒá
áºááŒá®áž áá±á«áºááá¯ááŸá¯ááᯠááŒá
áºáá±á«áºá
á±áááºá FLVCore::Uninitialize(void)
áá±á¬ááºá¡ááá·áºá
áá¯ááºáá±á¬ááºáá»ááºááẠááá¯ážááá¯ážááŸááºážááŸááºážááŒáá·áº á
áááºááá·áº mutex ááᯠáááºáá®ážáááºá {181C8480-A975-411C-AB0A-630DB8B0A221}
áá±á¬ááºááœáẠáááºááŸáá¡áá¯á¶ážááŒá¯áá°á¡áááºá ááá¯á·áá±á¬áẠáááºážááẠáááºáá±áá¬-á¡ááŸá®á¡ááá¯áááºážáá±á¬ áá¯ááºáá«ááŸááá±á¬ á
áœáá·áºáá
áºáá¬ážáá±á¬ *.db3 ááá¯ááºááᯠáááºááŒá®áž á¡áá¯á¶ážááŒá¯áááºá CreateThread
á¡ááŒá±á¬ááºážá¡áá¬ááá¯áá¯ááºáá±á¬ááºáááºá
*.db3 ááá¯ááºá á¡ááŒá±á¬ááºážá¡áá¬ááẠOceanLotus á¡ááœá²á·á០áá¯á¶ááŸááºá¡áá¯á¶ážááŒá¯ááá·áº shellcode ááŒá
áºáááºá áá»áœááºá¯ááºááá¯á·áá¯ááºáá±áá¬ážáá±á¬ emulator script ááᯠá¡áá¯á¶ážááŒá¯á áááºážá payload ááᯠá¡á±á¬ááºááŒááºá
áœá¬ áááºáá¶áá»á¯á¶á·ááá¯ááºáá«áááºá
áá¬ááºááœáŸááºážááẠáá±á¬ááºáá¯á¶ážá¡ááá·áºááᯠáá¯ááºáá¯ááºáááºá á€á¡á
áááºá¡ááá¯ááºážááẠáá»áœááºá¯ááºááá¯á· ááœá²ááŒááºážá
áááºááŒá¬ááŒá®ážáá±á¬ áá±á¬ááºáá¶áá
áºáá¯ááŒá
áºáááºá {A96B020F-0000-466F-A96D-A91BBF8EAC96}
binary ááá¯ááºá Malware ááœá²á·á
ááºážááŸá¯áá¯á¶á
á¶ááᯠPE áááºážááŒá
áºááœáẠáá¯ááºááŸááºáá¬ážáá²ááŒá
áºáááºá áááºážááœáẠá¡ááŒááºážáá»ááºážáá°áá®áá±á¬ááœá²á·á
ááºážáá¯á¶áá»á¬ážáá«ááŸááá±á¬áºáááºáž C&C áá¬áá¬áá»á¬ážááẠááááºáá¯á¶á
á¶áá»á¬ážááŸáá·áº ááœá²ááŒá¬ážáááº-
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus á¡ááœá²á·ááẠáá±á¬ááºááŸááºážááŸá¯ááᯠááŸá±á¬ááºááŸá¬ážááẠááá°áá®áá±á¬ áááºážáááºážáá»á¬ážááᯠáá±á«ááºážá
ááºááá¯ááºááŒááŒááºáááºá áááºážááá¯á·ááẠáá°ážá
ááºááŸá¯áá¯ááºáááºážá
ááºá "ááŒá®ážááŒá±á¬ááºáááº" á¡á
á®á¡á
ááºááŒáá·áº ááŒááºáááºáá±á¬ááºááŸááá¬ááŒáááºá áá»áááºážá¡áááºáá»á¬ážááá¯ááœá±ážáá»ááºááŒá®áž áá»áááºážáá±áá¬ááŒáá·áº executable áá»á¬ážááá¯ááŒáá·áºááŒááºážááŒáá·áºá áááºážááá¯á·ááẠáá¯á¶ááŒááºá
áááºáá»ááá±á¬ IoCs á¡áá±á¡ááœáẠ( hashes ááŸáá·áº filenames áá»á¬ážáá±á«áºá¡ááŒá±áá¶á) áá»áŸá±á¬á·áá»áááºá ááá¯á·á¡ááŒááºá áááááá«áá® DLL áááºááŒááºážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááŒáá·áºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá¬ážááẠbinary ááᯠáááºááŸá¬ážáááºáᬠááá¯á¡ááºáááºá AcroTranscoder
.
áá±á¬áºááœááºážááá¯ááºáá»á¬áž ááá¯ááºááá¯áẠáá¯ááºáá°ááŒááºážá
RTF ááá¯ááºáá»á¬ážááŒá®ážáá±á¬ááºá á¡ááœá²á·ááẠáá¯á¶ážá
áœá²áá°ááᯠááá¯ááá¯ááŸá¯ááºááœá±ážá
á±áááºá¡ááœáẠáá¯á¶á
á¬ááœááºá
á¬áááºážá¡áá¯ááºááœááºáá»á¬ážáá«ááŸááá±á¬ ááŸááºáááºážáá»á¬ážááᯠááá¯ááºááá¯ááºáá¯ááºáá°ááŒááºáž (SFX) ááá¯á· ááŒá±á¬ááºážáá²á·áááºá Threatbook á áá®á¡ááŒá±á¬ááºážááᯠáá±ážáá²á·ááẠ({A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
. 2019 áá¯ááŸá
Ạáááºááá«áá®ááááºááááºážá OceanLotus ááẠá€áááºážááá¬ááᯠááŒááºáááºá¡áá¯á¶ážááŒá¯áá±áá±á¬áºáááºáž á¡áá»áááºááŒá¬áá¬áááºááŸáá·áºá¡áá»áŸ á¡áá»áá¯á·áá±á¬áá¯á¶á
á¶áá»á¬ážááᯠááŒá±á¬ááºážáá²áá¬ážáááºá á€á¡ááá¯ááºážááœááºá áá»áœááºá¯ááºááá¯á·ááẠáááºážááá¬ááŸáá·áº á¡ááŒá±á¬ááºážá¡áá²áá»á¬ážá¡ááŒá±á¬ááºáž ááœá±ážááœá±ážáá«áááºá
ááœá²áá±á¬ááºááŸá¯áá áºáá¯áááºáá®ážááŒááºážá
á
á¬ááœááºá
á¬áááºáž THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE
(sha-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB
2018 áá¯ááŸá
áºááœáẠá
áááºááœá±á·ááŸááá²á·áááºá ဠSFX ááá¯ááºááᯠá
áááºááŒáá·áº áááºáá®ážáá¬ážááẠ- áá±á¬áºááŒáá»áẠ(áá¬ážááŸááºážá¡áá»ááºá¡áááº) á JPEG áá¯á¶áá
áºáá¯á¶ááá¯á·ááá¯áá«áááºá SFX áá¬ááºááœáŸááºážááẠá€áá²á·ááá¯á· ááŒá
áºáááº-
áá¯á¶ 9. SFX Commands
Malware ááẠááŒááºáááºáááºááŸááºáááºá {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx
(sha-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC
) á¡ááŒááºáá¯á¶áá« 2018 thich thong lac.jpg.
ááá±á¬ááºážááá¯ááºáá¯á¶ááẠá€áá²á·ááá¯á·ááŒááºááááº-
áá¯á¶ 10. Decoy áá¯á¶
SFX script á០ááááá»ááºážááŸá áºááŒá±á¬ááºážááẠOCX ááá¯ááºááᯠááŸá áºááŒáááºáá±á«áºááá¯áááºááᯠáááááŒá¯ááááá¯ááºáá±á¬áºáááºáž áááºážááẠá¡ááŸá¬ážá¡ááœááºážááá¯ááºáá±á
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX ááá¯ááºá ááááºážáá»á¯ááºá
á®ážáááºážááŸá¯ááẠá¡ááŒá¬ážáá±á¬ OceanLotus á¡á
áááºá¡ááá¯ááºážáá»á¬ážááŸáá·áº á¡ááœááºáááºáá°ááẠ- á¡áááá·áºáá±ážááá·áº á¡ááœá²áá»á¬ážá
áœá¬ JZ/JNZ
О PUSH/RET
á¡ááŸáá¯ááºáá¯ááºááœá±áá²á· áá±á¬ááŸááºáá±áááºá
áá¯á¶ 11á ááŸá¯ááºááŸááºáááºáá±áá±á¬ áá¯ááº
á¡ááŸáá¯ááºáá¯ááºááᯠá
á
áºáá¯ááºááŒá®ážáá±á¬ááºá áááºááá¯á·áá«á DllRegisterServer
, áá±á«áºááẠregsvr32.exe
, áá±á¬áºááŒáá«á¡ááá¯ááºáž:
áá¯á¶ 12á áááºáááá·áºááœááºážáá°áá¯ááº
á¡ááŒá±áá¶á¡á¬ážááŒáá·áº ááááŠážáá¯á¶ážá¡ááŒááẠáá¯ááºážáá±á«áºááŒááºážááŒá
áºáááºá DllRegisterServer
áááºááá¯á·ááŸá¯ááẠááŸááºáá¯á¶áááºáááºááá¯ážááᯠáááºááŸááºáááºá HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model
DLL ááœáẠá
á¬ááŸááºáá¬ážáá±á¬ á¡á±á¬á·ááºáááºá¡ááœáẠ(0x10001DE0
).
áá¯ááºáá±á¬ááºáá»ááºááᯠáá¯áááá¡ááŒáááºáá¯áá±á«áºáá±á¬á¡áá«á áááºážááẠáá°áá®áá±á¬áááºááá¯ážááá¯áááºááŒá®áž ááá¯ááááºá á¬ááœáẠáá¯ááºáá±á¬ááºáááºá á€áá±áá¬ááŸá áááºážááŒá áºááᯠáááºááŒá®áž áá¯ááºáá±á¬ááºááŒá®áž áá¯ááºáá±á¬ááºáá»ááºáá»á¬áž á¡áá»á¬ážá¡ááŒá¬ážááᯠRAM ááœáẠáá¯ááºáá±á¬ááºáááºá
shellcode ááẠáááẠOceanLotus áááºááááºážáá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯áá²á·ááá·áº PE loader ááŸáá·áº áá°áá®áá«áááºá ááŒáá·áº á¡áá¯áá°ááá¯ááºáá«áááºá db293b825dcc419ba7dc2c49fa2757ee.dll
á áááºážááᯠmemory áá²ááá¯á·áááºááŒá®áž execute áá¯ááºáá«á DllEntry
.
DLL ááẠáááºážááááºážááŒá áºá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠáá¯ááºáá°ááŒá®áž (AES-256-CBC) ááᯠáá¯ááºááŸááºááŒá®áž (LZMA) ááᯠáá»á¯á¶á·áááºá á¡áááºážá¡ááŒá áºááœáẠá á¯á ááºážááẠááœááºáá°áá±á¬ áá®ážááŒá¬ážáá±á¬áºáááºáá áºáᯠááŸááááºá
áá¯á¶ 13á áááºáááºáá° ááœá²á·á
ááºážááŸá¯áá¯á¶á
á¶ááœá²á·á
ááºážáá¯á¶ (KaitaiStruct Visualizer)
ááœá²á·á
ááºážááŸá¯áá¯á¶á
á¶ááᯠá¡ááá¡áááºáž áááºááŸááºáá¬ážááẠ- á¡ááœáá·áºáá°ážáá¶á¡ááá·áºáá±á«áº áá°áááºá binary áá±áá¬ááᯠáá±ážáá±ážááẠ%appdata%IntellogsBackgroundUploadTask.cpl
ááá¯á·ááá¯áẠ%windir%System32BackgroundUploadTask.cpl
(ááá¯á·ááá¯áẠSysWOW64
64-bit á
áá
áºáá»á¬ážá¡ááœááº) á
á¡áááºáá±ážáá¬ážáá±á¬ á¡áá¯ááºáá
áºáá¯ááᯠáááºáá®ážááŒááºážááŒáá·áº áááºáááºáááºááŒá²ááŸá¯ááᯠáá±áá»á¬á
á±áááºá BackgroundUploadTask[junk].job
áááºááŸá¬ [junk]
bytes á¡á
á¯áá
áºáá¯ááŒá
áºáááºá 0x9D
О 0xA0
.
Task application á¡ááẠ%windir%System32control.exe
ááŸáá·áº parameter ááááºááá¯ážááẠáá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ binary ááá¯ááºáá®ááá¯á· áááºážááŒá±á¬ááºážááŒá
áºáááºá ááŸááºáá¬ážáá±á¬ á¡áá¯ááºááẠáá±á·ááá¯ááºáž á¡áá¯ááºáá¯ááºáááºá
ááœá²á·á
ááºážáá¯á¶á¡áá CPL ááá¯ááºááẠá¡ááœááºážá¡áááºáá
áºáá¯áá«ááŸááá±á¬ DLL ááŒá
áºáááºá ac8e06de0a6c4483af9837d96504127e.dll
áá¯ááºáá±á¬ááºáá»ááºááᯠáááºááá¯á·áááºá CPlApplet
. á€ááá¯ááºááẠáááºážááá
áºáá¯áááºážáá±á¬ á¡áááºážá¡ááŒá
áºááᯠáá¯ááºááŸááºáááºá {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
ááá¯á·áá±á¬áẠDLL ááᯠáááºááŒá®áž áááºážá áá
áºáá¯áááºážáá±á¬ áááºááá¯á·ááŸá¯ááᯠáá±á«áºáááºá DllEntry
.
áá±á¬ááºáá¶ááœá²á·á ááºážááŸá¯ááá¯ááº
backdoor configuration ááᯠáá¯ááºááŸááºáá¬ážááŒá®áž áááºážáá¡áááºážá¡ááŒá áºáá»á¬ážááœáẠááá·áºááœááºážáá¬ážáááºá configuration file á ááœá²á·á ááºážáá¯á¶ááẠááááºááá¯ááºááŸáá·áº á¡ááœááºáááºáá°áááºá
áá¯á¶ 14á áá±á¬ááºáá¶ááœá²á·á
ááºážáá¯á¶ááœá²á·á
ááºážáá¯á¶ (KaitaiStruct Visualizer)
áá°áá®áá±á¬ááœá²á·á
ááºážáá¯á¶ááŸááá±á¬áºáááºážá áá»á¬ážá
áœá¬áá±á¬áááºáááºáá»á¬ážááááºááá¯ážáá»á¬ážááá¯ááŒááá¬ážáá±á¬áá±áá¬áá»á¬ážááŸáá·áºááŸáá¯ááºážááŸááºáá«á
binary array ááááááŒááºá
ááºááœáẠDLL áá«áááºááẠ(HttpProv.dll
MD5 2559738D1BD4A999126F900C7357B759
),
áááºáá±á¬ááºážáá¯áá±áá
ááá°áá¬áá»á¬ážááᯠá á¯áá±á¬ááºážáá¬ááœáẠá¡áá»áá¯á·áá±á¬ áááá±áááá¹ááá¬áá»á¬ážááᯠá¡á¬áá¯á¶á áá¯ááºáá²á·áá«áááºá áá±á¬áºááŒáá¬ážááá·áºááá°áá¬ááẠ2018 áá¯ááŸá Ạáá°ááá¯ááºááááºážáá»ááºááœáẠáá±á«áºáá¬ááŒá®áž áááŒá¬áá±ážáá®ááááºá áááºááá«áá®ááááºááá¯ááºážá០2019 áá¯ááŸá Ạáá±áá±á¬áºáá«áá®áá¡á á±á¬ááá¯ááºážááœáẠáá±á«áºáá¬áááºá SFX ááŸááºáááºážááᯠáá°ážá ááºááŸá¯ááá¯ááºáᬠá¡á¬ážáááºážáá»ááºáá áºáá¯á¡ááŒá Ạá¡áá¯á¶ážááŒá¯áá²á·ááŒá®áž ááá¬ážááẠááŸáá·áºááœááºá á¬ááœááºá á¬áááºážááŸáá·áº á¡áá¹ááá¬ááºááŸááá±á¬ OCX ááá¯ááºááᯠá áœáá·áºáá áºáá²á·áááºá
OceanLotus ááẠá¡áá»áááºáá¶ááááºáá¯á¶ážá¡áá¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá±á¬áºáááºážá SFX ááŸáá·áº OCX ááá¯ááºáá»á¬ážá á¡áá»áááºáá¶ááááºáá»á¬ážááẠá¡ááŒá²áááºážá¡áá°áá°ááŒá
áºááŒá±á¬ááºáž áá»áœááºá¯ááºááá¯á·áááááŒá¯ááááẠ(0x57B0C36A
(08/14/2016 @ 7:15pm UTC) ááŸáá·áº 0x498BE80F
(02/06/2009 @ 7:34am UTC) á¡áá®ážáá®ážá á€áááºááŸá¬ á
á¬áá±ážááá¬áá»á¬ážááœáẠáá°áá®áá±á¬ áá¯á¶á
á¶áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á á¡áá»áá¯á·áá±á¬ áááá±áááá¹ááá¬áá»á¬ážááᯠááŒá±á¬ááºážáá²á
á±áá±á¬ "áááºáá±á¬ááºáá°" áá
áºáá»áá¯ážáá»áá¯ážááŸáááŒá±á¬ááºáž ááœáŸááºááŒáá±áá±áááºá
2018 áá¯ááŸá áºá¡á ááááºážá áá»áœááºá¯ááºááá¯á·áá±á·áá¬áá²á·ááá·áº á á¬ááœááºá á¬áááºážáá»á¬ážáá²ááœááºá á áááºáááºá á¬ážááœááºááá¯ááºááá¯ááºáá±áá±á¬ááá¯ááºáá¶áá»á¬ážááᯠááœáŸááºááŒáá±á¬ á¡áááºá¡áá»áá¯ážáá»áá¯ážááŸááááºá
- ááá¹áá±á¬áá®ážáá¬ážáá®áá®áᬠ(New.xls.exe) á áááºááœááºáááºá¡áá»ááºá¡áááºá¡áá
áº
- æå»ºéŠ (䞪人ç®å).exe (CV á pdf á
á¬ááœááºá
á¬áááºážá¡áá¯)
â áá¯á¶á·ááŒááºáá»ááºá áá°ááá¯ááºá 28-29á 2018.exe á០USA ááœáẠRally
áá±á¬ááºááœááºááŸááŸá¬ááœá±ááœá±á·ááŸáááááºážá {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
ááŸáá·áº áá¯áá±áá®á¡áá»á¬ážá¡ááŒá¬ážá áááºážáááœá²ááŒááºážá
áááºááŒá¬áá»ááºááᯠáá¯ááºáá±ááŒááºážááŒáá·áº malware ááœá²á·á
ááºážááŸá¯ááá¯ááºáá¬áá±áá¬ááœáẠááŒá±á¬ááºážáá²ááŸá¯á¡áá»áá¯á·ááᯠáá»áœááºá¯ááºááá¯á· ááœá±á·ááŸááá²á·áááºá
ááááŠážá
áœá¬á
á¬áá±ážááá¬áá»á¬ážáááºá¡áá°á¡áá®áá±ážáá° DLL DLLs áá»á¬ážááŸá¡áááºáá»á¬ážááá¯á
áááºáááºááŸá¬ážáá²á·ááẠ(DNSprov.dll
áá¬ážááŸááºážááŸá
áºáá»áá¯áž HttpProv.dll
) ááá¯á·áá±á¬ááºá¡á±á¬áºááá±áá¬áá»á¬ážáááºáááá DLL (áá¯ááááá¬ážááŸááºážááá¯áá¯ááºááá¯ážááŒááºážááá¯áááºááá·áºáá²á·áááºá HttpProv.dll
) áá
áºáá¯áááºážááᯠááŒáŸá¯ááºááŸá¶ááẠááœá±ážáá»ááºááŒááºážá
áá¯áááá¡áá±ááŒáá·áºá IoC á¡áá»á¬ážá¡ááŒá¬ážáááŸáááá¯ááºáá¬áááºááŸáá·áºá¡áá»áŸ áá±á¬ááºááŸááºážááŸá¯ááᯠááŸá±á¬ááºááŸá¬ážáááºá¡ááœáẠáá±á¬ááºáá¶ááœá²á·á ááºážááŸá¯á¡ááœááºáá»á¬ážá áœá¬ááᯠááŒá±á¬ááºážáá²áá¬ážáááºá á á¬áá±ážááá¬áá»á¬áž ááŒá¯ááŒááºááœááºážáá¶áá¬ážáá±á¬ á¡áá±ážááŒá®ážáá±á¬ áááºáááºáá»á¬ážáá²ááœáẠá¡á±á¬ááºáá«ááá¯á· áá«áááºáááºá
- ááŒá±á¬ááºážáá²áá¬ážáá±á¬ ááŸááºáá¯á¶áááºáá®áž AppX (IoCs ááá¯ááŒáá·áºáá«)
- mutex áá¯ááºááŸááºááŒááºáž á á¬ááŒá±á¬ááºáž ("def", "abc", "ghi")
- ááááºáááºážáá¶áá«ááº
áá±á¬ááºáá¯á¶ážááœááºá ááœá²ááŒááºážá áááºááŒá¬áá¬ážáá±á¬ áá¬ážááŸááºážá¡áá áºáá»á¬ážá¡á¬ážáá¯á¶ážááœáẠIoCs ááá¹áááœáẠáá±á¬áºááŒáá¬ážáá±á¬ C&C á¡áá áºáá»á¬ážááŸááááºá
ááœá±á·ááŸááá»ááºáá»á¬áž
OceanLotus ááẠáááºáááºááá¯ážáááºáá±áá«áááºá ááá¯ááºáá¬á¡ááœá²á·ááẠáááááá¬áá»á¬ážááŸáá·áº ááŸáá·áºá á¬ážááŸá¯áá»á¬ážááᯠááá·áºá ááºááŒááºážááŸáá·áº áá»á²á·ááœááºááŒááºážá¡áá±á«áº á¡á¬áá¯á¶á áá¯ááºáá¬ážáááºá á á¬áá±ážááá¬áá»á¬ážááẠáááºááœááºáá¶ááá°áá»á¬ážááŸáá·áº áááºááá¯ááºááá·áº á¡á¬áá¯á¶á á°ážá áá¯ááºááŸá¯ááŸááá±á¬ á á¬ááœááºá á¬áááºážáá»á¬ážááŒáá·áº á¡áá¹ááá¬ááºááŸááá±á¬ áááºáá¯ááºáááºááá¯ážáá»á¬ážááᯠáá¯á¶ážááœááºáá¬ážáááºá áááºážááá¯á·ááẠáá¬ážáá áºá¡áá áºáá»á¬ážááᯠáá®ááœááºááŒá®áž Equation Editor exploit áá²á·ááá¯á·áá±á¬ á¡áá»á¬ážáá°ááŸá¬áááŸáááá¯ááºáá±á¬ áááááá¬áá»á¬ážááá¯áááºáž á¡áá¯á¶ážááŒá¯áá«áááºá ááá¯á·á¡ááŒááºá áááºážááá¯á·ááẠáá¬ážáá±á¬ááºáá»á¬ážá á ááºáá»á¬ážááœáẠáá»ááºáá áºáá²á·áá±á¬ ááŸá±ážáá±á¬ááºážáá á¹á ááºáž á¡áá±á¡ááœááºááᯠáá»áŸá±á¬á·áá»ááẠáááááá¬áá»á¬ážááᯠááá¯ááá¯áá±á¬ááºážááœááºá¡á±á¬áẠáá¯ááºáá±á¬ááºáá±ááŒá®áž ááá¯ááºážáááºá áºááŸáááºáááºážáá±áž áá±á¬á·ááºáá²ááºá០ááŸá¬ááœá±ááœá±á·ááŸáááá¯ááºááŒá±ááᯠáá»áŸá±á¬á·áá»áá±ážáááºá
á¡áá±ážá¡áá°á¡ááœáŸááºážáá»á¬áž
á¡áá±ážá¡áá°áá¯ááºááŒááºážááá¯ááºáᬠá¡ááœáŸááºážááááºážáá»á¬ážá¡ááŒáẠMITER ATT&CK áááºááœáŸááºážáá»ááºáá»á¬ážááᯠáááŸáááá¯ááºáá«áááºá
source: www.habr.com