Orcus RAT IOCs

remote access Trojan IOC

Группа анализа ASEC недавно обнаружила Orcus RAT, распространяемую на файлообменных сайтах под видом взломанной версии Hangul Word Processor. Угрожающий агент, распространяющий эту вредоносную программу, - тот же человек, который распространял на файлообменных сайтах BitRAT и XMRig CoinMiner, замаскированные под инструмент проверки лицензии Windows.

Вредоносная программа, распространяемая угрожающим агентом, имеет схожую форму с предыдущими, за исключением того, что вместо BitRAT используется Orcus RAT. Более того, новая вредоносная программа является более сложной, чем прошлые версии, учитывая тот факт, что она включает в себя сложный процесс обхода обнаружения поведения антивирусным программным обеспечением и регистрирует команды PowerShell в планировщике задач для периодической установки новейших вредоносных программ.

Файлообменные сайты являются основной платформой наряду с торрентами, используемой субъектами угроз для распространения вредоносного ПО среди корейских пользователей. Зарегистрированные пользователи загружают медиафайлы, такие как фильмы и телесериалы, а также программы, такие как игры и утилиты, а также контент для взрослых. Другие пользователи могут заплатить определенную плату и скачать загруженные файлы.

В отличие от случаев случайного распространения вредоносного ПО различными угрожающими субъектами, использующими вредоносное ПО, которое можно легко найти в Интернете, угрожающий субъект, распространявший BitRAT и XMRig CoinMiner, продолжает нацеливаться на корейских пользователей, самостоятельно разрабатывая свое вредоносное ПО и предпринимая попытки обойти продукты AhnLab V3. Кроме того, взломанная версия BitRAT до сих пор не найдена, что говорит о том, что, хотя угрожающие лица сами разрабатывают вредоносное ПО, новейшие штаммы вредоносного ПО иногда приобретаются.

Orcus RAT - троянская вредоносная программа удаленного доступа, которая продается примерно с 2016 года. Компания Orcus Technologies, разработавшая эту программу, при продаже описывала ее как инструмент удаленного администрирования, но она включает не только функцию удаленного управления, но и такие вредоносные функции, как запись клавиатуры, сбор информации с веб-камеры и аккаунта, а также выполнение команд. Соответственно, в новостях появилась статья о том, что канадские власти провели рейд против разработчиков в 2019 году.

Как и другие вредоносные программы RAT, существует взломанная версия Orcus RAT, и поэтому различные субъекты угроз используют это в своих атаках. В этой статье мы кратко опишем процесс от начального способа распространения, когда угрожающий субъект побуждает пользователя установить вредоносное ПО, до конечной установки Orcus RAT и XMRig CoinMiner.

Indicators of Compromise

Domain Port Combinations

  • minecraftrpgserver.com:27036
  • minecraftrpgserver.com:80
  • xmr.2miners.com:12222

URls

  • https://api.telegram.org/bot5538205016:AAH7S9IGtFpb6RbC8W2TfNkjD7Cj_3qxCnI/sendMessage
  • https://docs.google.com/uc?export=download&id=11oXcLJflmBUXZAycZ3mbTiqNctbmox0b
  • https://docs.google.com/uc?export=download&id=1-B3960J-kcD_v9PaVP0gYyGpZVWDTHOw
  • https://docs.google.com/uc?export=download&id=1bPnNN92VXIoGEWl-AAiYq_KAjqZA9Boe
  • https://docs.google.com/uc?export=download&id=1DkEj9fNfDssSj0qNhpQUn1U-bHogDRrv
  • https://docs.google.com/uc?export=download&id=1FgV6vUZZX3XkERFlXDpKQHoo8qYL9r4z
  • https://docs.google.com/uc?export=download&id=1GWm1TFpqTxungXVH0vlktkat5HilyBOJ
  • https://docs.google.com/uc?export=download&id=1kNCUUyEMYVhfp2rypg-3COmlrnAjBeyd
  • https://docs.google.com/uc?export=download&id=1l4cygNMQxj-oyPPPFq65x1ALk9duhd7D
  • https://docs.google.com/uc?export=download&id=1N75CXe7da3gN7DW2eM4X0w1Rb9XJr7Mx
  • https://docs.google.com/uc?export=download&id=1qz1trnHId7cJZsjDnN0r7nSjaLbhw4sN
  • https://docs.google.com/uc?export=download&id=1T3Kp_aH5-D8F5OS1qv40IPIUXoz3orh4
  • https://docs.google.com/uc?export=download&id=1TgGYGUuCp2MC31UKtaOrlEDOIqbvYArO
  • https://docs.google.com/uc?export=download&id=1VgEmuFjDFKXL-zVaaO903BHdoJN3Jr8M

MD5

  • 516a2bde694b31735c52e013d65de48d
  • 6a1fc56b4ce8a62f1ebe25bf7bbe2dbd
  • 7303e2f671f86909527d8514e1f1f171
  • 74bdc2a8d48a6a4833aac4832e38c3b9
  • 9c11f58ed5e7b2806042bc9029a5cca8
  • bd1301fb0bd0f7d2e75f090894423be0
  • ccf2d6c69a4e016cd19fa4ee7bc341ec
  • d3c271624e23c125b77dd774ffa4af5d
SEC-1275-1
Добавить комментарий