CheckRes, PowershellRAT и другие. Что мы нашли в арсенале китайских APT-группировок - «Новости»

И пос­ледняя осо­бен­ность каса­ется «закал­ки» псев­дослу­чай­ного чис­ла. В изна­чаль­ном алго­рит­ме пред­полага­ется сна­чала битовый сдвиг на кон­стан­ту, а затем про­изво­дит­ся побито­вое логичес­кое И. Здесь же порядок изме­нен, что пов­лияло на кон­стан­ты, исполь­зуемые для этой опе­рации. Так, кон­стан­та 0xefc60000 здесь пред­став­лена в виде зна­чения 0xFFFFDF8C.

ShadowPad Light 2021

ShadowPad Light — облегчен­ная вер­сия ори­гиналь­ного ShadowPad без обфуска­ции кода. Нес­мотря на то что этот семпл очень похож на ори­гиналь­ный ShadowPad, у него есть свои осо­бен­ности.

Загрузка

ShadowPad Light пос­тавля­ется тре­мя фай­лами:

• 
  hpdigital.exe — легитим­ный исполня­емый файл, име­ющий под­пись ком­пании HP;
  


• 
  hpqhvsei.dll — вре­донос­ная биб­лиоте­ка, заг­ружа­ется пос­редс­твом тех­ники DLL hijacking;
  


• 
  hpqlpvdt.tmp — шиф­рован­ная наг­рузка, которая содер­жит рас­паков­щик и полез­ную вре­донос­ную наг­рузку, так­же хра­нит в себе пер­воначаль­ный необ­ходимый для работы набор модулей.