TrueBot (он же Silence.Downloader) - это загрузчик, который, как сообщается, используется с 2017 года и связан с актором угроз под названием Silence Group. Основная цель TrueBot - загрузка дополнительных полезных нагрузок и их выполнение на скомпрометированных системах.
При анализе вариантов TrueBot были выявлены два компонента: загрузчик и загрузчик TrueBot. Загрузчик расшифровывает полезную нагрузку загрузчика TrueBot с помощью пользовательского алгоритма, загружает ее в память и затем выполняет с помощью экспортной функции ChkdskExs или fff.
Загрузчик TrueBot заметно содержит нежелательный код в начале своих экспортных функций ChkdskExs или fff. После выполнения TrueBot внедряется в систему через запланированные задачи или ключ Run реестра. Загрузчик расшифровывает свой C2-адрес с помощью Base64 и RC4, а затем начинает собирать информацию о скомпрометированной системе. Собранная информация включает в себя: Информация об ОС, имя пользователя, запущенные процессы, локальный домен и информация о доверии к домену. Собранная информация отправляется на C2 в Base64 кодировке в HTTP POST запросе. Ожидается, что ответ C2 будет содержать команды, которые инструктируют загрузчика выполнить различные полезные нагрузки, такие как шелл-код, пакетные файлы, DLL, EXE и PowerShell. В зависимости от варианта, полезная нагрузка выполняется в памяти или через файлы, сохраненные на диске.
Indicators of Compromise
IPv4
- 45.182.189.103
URLs
- http://94.142.138.61/dl/25/timestamp/
- https://astonmartinbespoke.co.uk/gdw9l
- https://basementplayground.com/x
- https://dremmfyttrred.com/dns.php
- https://mtjit.com/jis7p
- https://newdaynewsletter.com/nqr7i
- https://xcellentplus.com/z/
Emails
- ambientales@agip.gob.ar
- contacto@egotei.com
- steinar@giil.cc
MD5
- 4ec90b6cbb04a8224ffbc703750db38a
- a35e8940cec01a5887cf70c38659e185
- e4a42cbda39a20134d6edcf9f03c44ed
- eb1508a75dabe9f64fd774f14e1f3cab