Graphiron Stealer IOCs

Spyware IOC

Группа Nodaria развернула новую угрозу, предназначенную для кражи информации с зараженных компьютеров.

Table of Contents

Graphiron - это двухэтапная угроза, состоящая из загрузчика и полезной нагрузки. Она написана на языке Go и предназначена для сбора широкого спектра информации с зараженного компьютера, включая системную информацию, учетные данные, скриншоты и файлы. Загрузчик содержит жестко закодированные адреса командно-контрольного (C&C) сервера. При выполнении он проверяет наличие запущенных процессов в черном списке инструментов анализа вредоносного ПО. Если процессов в черном списке не обнаружено, он подключается к серверу C&C, загружает и расшифровывает полезную нагрузку, после чего добавляет ее в автозапуск.

Загрузчик настроен на однократный запуск. Если ему не удастся загрузить и установить полезную нагрузку, он не будет предпринимать дальнейших попыток и не отправит сигнал тревоги.

Graphiron использует шифрование AES с жестко заданными ключами. Он создает временные файлы с расширениями ".lock" и ".trash". Он использует жестко закодированные имена файлов, предназначенные для маскировки под исполняемые файлы Microsoft office: OfficeTemplate.exe и MicrosoftOfficeDashboard.exe.

 

SHA256

  • 0d0a675516f1ff9247f74df31e90f06b0fea160953e5e3bada5d1c8304cfbe63
  • 80e6a9079deffd6837363709f230f6ab3b2fe80af5ad30e46f6470a0c73e75a7
  • 878450da2e44f5c89ce1af91479b9a9491fe45211fee312354dfe69e967622db
  • eee1d29a425231d981efbc25b6d87fdb9ca9c0e4e3eb393472d5967f7649a1e6
  • f0fd55b743a2e8f995820884e6e684f1150e7a6369712afe9edb57ffd09ad4c1
  • f86db0c0880bb81dbfe5ea0b087c2d17fab7b8eefb6841d15916ae9442dd0cce
SEC-1275-1
Добавить комментарий