H-worm RAT IOCs

remote access Trojan IOC

H-worm - это RAT на базе VBS (Visual Basic Script), написанный человеком под ником Houdini. Мы полагаем, что автор находится в Алжире и связан с njq8, автором njw0rm и njRAT/LV [2], посредством общей кодовой базы. Мы видели, как H-worm RAT используется в целевых атаках на международную энергетическую промышленность; однако мы также видим, что он используется в более широком контексте в качестве обычных атак через спам-вложения электронной почты и вредоносные ссылки.

Полезная нагрузка H-worm - это просто VBS-файл, который часто обернут в исполняемый PE-дроппер. В некоторых случаях VBS-файл H-червя также упакован несколькими уровнями обфускации. При анализе таких образцов (81c153256efd9161f4d89fe5fd7015bc и 4543daa6936dde54dda8782b89d5daf1) мы обнаружили, что они были обфусцированы с помощью пользовательской кодировки Base64, нескольких уровней стандартной кодировки Base64 (Safa Crypter) и замены символов. Используемые методы обфускации. Существует также Autoit-версия H-worm, называемая "underworld version", которая имеет ту же функциональность, что и VBS-версия.

Indicators of Compromise

Domains

  • adolf2013.sytes.net
  • ballgogo.no-ip.biz
  • karimstar.zapto.org
  • kiyoma200.no-ip.biz
  • pess-12.zapto.org
  • securityfocus.bounceme.net
  • sidisalim.myvnc.com
  • silent9.zapto.org
  • xkiller.no-ip.info

Domain Port Combinations

  • adamdam.zapto.org:1973
  • adolf2013.sytes.net:1183
  • adolf2013.sytes.net:1184
  • ahmad212.no-ip.biz:86
  • alii007.zapto.org:288
  • alii007.zapto.org:6611
  • am1.no-ip.info:1888
  • ballgogo.no-ip.biz:8088
  • basss.no-ip.info:2026
  • basss.no-ip.info:82
  • bg1337.zapto.org:1155
  • bog5151.zapto.org:991
  • dataday3.no-ip.org:83
  • docteuur13.no-ip.org:444
  • doda.redirectme.net:777
  • dzhacker15.no-ip.org:82
  • g00gle.sytes.net:4448
  • gerssy.zapto.org:6000
  • googlechrome.servegame.com:1990
  • hackediraq.no-ip.biz:88
  • hackeralbasrah.no-ip.biz:8888
  • hattouma12.no-ip.biz:88
  • hmode123.no-ip.biz:9090
  • karimstar.zapto.org:85
  • kiyoma200.no-ip.biz:1117
  • koko.myftp.org:9090
  • mda.no-ip.org:88
  • medolife.no-ip.biz:1247
  • microsoftsystem.sytes.net:4442
  • mootje01.no-ip.org:81
  • msgbox.zapto.org:5246
  • new-hacker.no-ip.org:81
  • njnj.redirectme.net:123
  • no99.zapto.org:81
  • noooot.no-ip.biz:443
  • pess-12.zapto.org:81
  • pess-123.zapto.org:1604
  • portipv6.redirectme.net:1991
  • ronaldo-123.no-ip.biz:2011
  • ronaldo-123.no-ip.biz:2013
  • sawdz.no-ip.biz:333
  • securityfocus.bounceme.net:1166
  • shagagy21.no-ip.biz:1605
  • sidisalim.myvnc.com:1888
  • silent9.zapto.org:7895
  • terminator9.zapto.org:1991
  • vpn-hacker.no-ip.biz:9090
  • xbox720.zapto.org:1991
  • xkiller.no-ip.info:1
  • yahia17.no-ip.org:1177
  • zeusback.no-ip.biz:223
  • zoia.no-ip.org:446

MD5

  • 00df326eee18617fae2fdd3684ac1546
  • 12cc632f24497a2aa9bed63d36c2725d
  • 1488cdc5c5c9c87b4e0dae27ba3511cb
  • 3034ab284cf07b9215fb0ca715d3660f
  • 43309710ab8f87dc5d9842a5bca85f80
  • 4543daa6936dde54dda8782b89d5daf1
  • 471d61e7a3d936fa28efef3273b2dbd6
  • 617a128b44671ac88df0b7180d9d0135
  • 6f3bad9a426a867f3ebf34bb68a75fe9
  • 80b1f909d1217313c14ea6d4d0b003dc
  • 81c153256efd9161f4d89fe5fd7015bc
  • 82e6fc9a6b06fb51c134ba1755be23be
  • 945471684a57e1e6b73c0f22beceb25c
  • 9e273220eb71f849ea99b923cbc1fae3
  • a40faab2f3f546aeb29aaefcb0f751d8
  • a85c29d11016c633ef228fc58ebe2c14
  • ae5c8ad09954a56f348a3b72ed824363
  • c6b53fc46427527a0739e6b6443ef72d
  • d833ba1b0ac9b512382433f47084bf52
  • da3e2eeffd78d8c5ef472b8a09e9d325
  • e96a6b06b0b46bd3cde7137c47137643
  • eaba668520690207f07eb99fcd4c0cae

SHA256

  • be871515ce8246118446de9d563803231c2f0dd9613f52a73a8a1b1a8f1eada6

 

SEC-1275-1
Добавить комментарий