Vidar Trojan IOCs - Part 2

remote access Trojan IOC
Опубликовано

CERT-AgID, совместно с затронутыми менеджерами PEC, противостоял новой массивной кампании вредоносного ПО, передаваемого через PEC, которая, по-видимому, похожа на ту, что уже наблюдалась для sLoad.

Vidar Trojan

Атака, которая началась в 00:02 05-07-2023 и завершилась через два часа, использовала ряд ранее скомпрометированных CEM для отправки сообщений на другие CEC, предлагая получателям нажать на ссылку в теле сообщения, чтобы загрузить поддельный счет.

Файл, загружаемый при нажатии на ссылку 'Invoice', представлял собой ZIP, содержащий VBS-файл InvoiceXXXXXXX.vbs, который, помимо эксплуатации bitsadmin, как уже наблюдалось для sLoad, также использовал certutil для загрузки исполняемого файла (Vidar) с удаленного сервера.

Для отслеживания количества скомпрометированных машин скрипт отправляет HTTP-запрос на дополнительный удаленный сервер с указанием IP-адреса жертвы и имени машины.

Чтобы скрыть запросы, выдавая их за легитимные, и получить информацию об IP-адресах для связи, Vidar устанавливает легитимные соединения с профилем пользователя Steam и каналом Telegram, из которых извлекает адреса серверов, с которыми нужно установить связь.

В качестве вектора заражения авторы кампании использовали установочный пакет InnoSetup с оригинальным дистрибутивом Python 3.11 внутри, но с модифицированной DLL (python311.dll) для выполнения шеллкода. Из-за необходимых зависимостей исполняемого файла и хостовой DLL вредоносная программа не может инициировать заражение на машинах под управлением Windows 7 и более ранних версий.

Vidar - это недавно появившаяся вредоносная программа в виде сервиса (Q4 2022), принадлежащая к семейству infostealer, которая, захватив систему, получает информацию из..:

  • Популярные браузеры: пароли, cookies, автозаполнение и история;
  • цифровых кошельков;
  • Данные кредитных карт;
  • Авторизация в Telegram;
  • учетные данные доступа к FTP, WINSCP, MAIL.

Разработчики Vidar создали русскоязычный канал Telegram, за которым в настоящее время следят более 3 000 пользователей, для обеспечения поддержки и выпуска обновлений новых версий. Они также могут похвастаться надежной и защищенной от DDoS-атак инфраструктурой C2.

Indicators of Compromise

IPv4

  • 116.202.176.70
  • 116.203.14.106
  • 195.123.212.32
  • 195.123.218.236
  • 5.75.208.184

Domains

  • creativevim.com
  • estoresinc.com

URLs

  • http://116.202.176.70/
  • http://116.203.14.106/
  • http://195.123.218.236:8080/data/
  • http://5.75.208.184:27016/
  • http://5.75.208.184:27016/e7ea1e37142cdab711cad668b60e14ab
  • https://creativevim.com/?r=zmgxabf57sht
  • https://estoresinc.com/scorp/dkjhe.exe
  • https://steamcommunity.com/profiles/76561199523054520
  • https://t.me/game4serv

MD5

  • 2bf6ddc2abe23a073214f97644b3b7dd
  • 59a8f13c7584cb4c00658586b8b6d98d
  • f0aadc6ed02caabdb46c49798e18e811

SHA1

  • 1d8235fb23afe858e75f2a845fcdbf9a54475d92
  • 76f63831c6e4c67b35c80917ff249d8f1509e74c
  • fa7f01fb2705c3ffcedb2a30146945f0d06bbd38

SHA256

  • 8d3167431ad75dcece76d687e5728830b358d9cf139c1ffbad9745d7b51d3267
  • a039201075dfcd3f9394d380ec87c94a2898d2ce47501326ad387f12613dda6e
  • fa70210641dbdb01ebd60ff4b1e39efeeaa16d4570ef97f9f20824f5adb7d43c
Похожие записи:
  1. Ursnif Trojan IOCs - Part 2
  2. Vidar Trojan IOCs
  3. BitRAT Trojan IOC
  4. Vidar Malware IOC
  5. Emotet Trojan IOC
CERT-IT trojan Vidar
Добавить комментарий