XWorm RAT IOCs

remote access Trojan IOC

XWorm способен сбрасывать несколько вредоносных полезных нагрузок в различные точки системы, добавлять или изменять записи реестра, а также выполнять команды.

  • После выполнения вредоносная программа "спит" в течение одной секунды и проверяет наличие мьютексов, виртуальных машин, отладчиков, эмуляторов, сред песочницы и Anyrun. Вредоносная программа завершает свою работу, если ни одно из этих условий не выполнено.
  • XWorm устанавливает себя в папку запуска и создает запись запланированной задачи в папке AppData.
  • Вредоносная программа создает запись автозапуска в реестре, чтобы она автоматически запускалась при каждом перезапуске системы.
  • После установления устойчивости она связывается с сервером C2. Затем система домена C&C получает уведомления о новой системной информации через новый поток.
  • Он включает в себя процедуру Read(), которая получает зашифрованные AES команды от C&C и расшифровывает их перед выполнением необходимых операций.
  • Вредоносная программа может выполнять различные задачи, включая перехват клавиатуры, захват экрана, автообновление, самоуничтожение, выполнение скриптов и операции выкупа.
  • Операции с файлами и  папками, выполняемые вредоносной программой, включают добавление и удаление файлов, скрытие и отображение файлов, а также передачу файлов.
  • Кроме того, вредоносная программа запускает атаку Hidden Virtual Network Computing (HVNC), которая позволяет ей контролировать удаленную машину без ведома жертвы.

Indicators of Compromise

URLs

  • https://stnicholaschurch.ca/Invoice.one
  • https://stnicholaschurch.ca/xw.bat

Emails

  • bill@parklandbiz.com

MD5

  • 42567e365feef7f95e1ca516aa3afe7d
  • ac15b02c77993eed771c7040c2f9c12d
  • c897369be58f7de9aa218fde09112449
  • e7b74503aa1b3ad783e69e154fff3525
  • f0a664426e165717999eba8030d11c54
SEC-1275-1
Добавить комментарий