TrueBot Downloader IOCs

security IOC

TrueBot (он же Silence.Downloader) - это загрузчик, который, как сообщается, используется с 2017 года и связан с актором угроз под названием Silence Group. Основная цель TrueBot - загрузка дополнительных полезных нагрузок и их выполнение на скомпрометированных системах.

При анализе вариантов TrueBot были выявлены два компонента: загрузчик и загрузчик TrueBot. Загрузчик расшифровывает полезную нагрузку загрузчика TrueBot с помощью пользовательского алгоритма, загружает ее в память и затем выполняет с помощью экспортной функции ChkdskExs или fff.

Загрузчик TrueBot заметно содержит нежелательный код в начале своих экспортных функций ChkdskExs или fff. После выполнения TrueBot внедряется в систему через запланированные задачи или ключ Run реестра. Загрузчик расшифровывает свой C2-адрес с помощью Base64 и RC4, а затем начинает собирать информацию о скомпрометированной системе. Собранная информация включает в себя: Информация об ОС, имя пользователя, запущенные процессы, локальный домен и информация о доверии к домену. Собранная информация отправляется на C2 в Base64 кодировке в HTTP POST запросе. Ожидается, что ответ C2 будет содержать команды, которые инструктируют загрузчика выполнить различные полезные нагрузки, такие как шелл-код, пакетные файлы, DLL, EXE и PowerShell. В зависимости от варианта, полезная нагрузка выполняется в памяти или через файлы, сохраненные на диске.

Indicators of Compromise

IPv4

  • 45.182.189.103

URLs

  • http://94.142.138.61/dl/25/timestamp/
  • https://astonmartinbespoke.co.uk/gdw9l
  • https://basementplayground.com/x
  • https://dremmfyttrred.com/dns.php
  • https://mtjit.com/jis7p
  • https://newdaynewsletter.com/nqr7i
  • https://xcellentplus.com/z/

Emails

MD5

  • 4ec90b6cbb04a8224ffbc703750db38a
  • a35e8940cec01a5887cf70c38659e185
  • e4a42cbda39a20134d6edcf9f03c44ed
  • eb1508a75dabe9f64fd774f14e1f3cab
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий