Yet Another RAT IOCs

remote access Trojan IOC

Во время расследования наша команда Solar JSOC CERT наткнулась на неизвестный RAT. Но после проведения анализа стало понятно, что это новая версия RAT (3.3a), который использует группировка APT31.

Для закрепления в системе и запуска RAT злоумышленники использовали службы. Схема запуска RAT, как и в прошлой версии, использует DLL Hijacking и приведена на рисунке:

 

Yet Another RAT

  • схемы запуска – DLL Hijacking;
  • каталоги размещения – C:\ProgramData;
  • инструментарий – в рамках инцидента злоумышленники использовали бэкдор PlugX;
  • заимствование кода компонентов из Gh0st RAT;

Indicators of Compromise

IPv4

  • 213.183.53.156

Domains

  • api.inliines.com

SHA256

  • 064a158a475d275c6be6d79b86c32f33e1723837020e05e0df96bbd2767ca1ca
  • 2676ff82303dd30c23608d55c3d5214e18319d584763afe8ec058ca6ab149d51
  • 267c0a4ffb1a70028f841e0acf960dfdb87971129043baa2869f61e2a74a96d4
  • 2f54780cb0f04cfe7304d7863a71449a5defe55e8a27ca2d1a1476f1ebdd55c9
  • 7259da2c7c36dab389fd3ab56d053fef8aa581fab84dbb36327e271e52917906
  • b3418389642603379450f51b0c6028d1dbaa44bada61857d9d9cf0f564b84e64
SEC-1275-1
Добавить комментарий