TOITOIN Trojan IOCs

remote access Trojan IOC
Опубликовано

Вредоносная кампания TOITOIN направлена на предприятия в регионе LATAM и использует сложные технологии и многоступенчатые цепочки заражения.

  • Используя инстансы Amazon EC2, злоумышленники уклоняются от обнаружения по доменам, что усложняет обнаружение и блокирование их деятельности.
  • В анализируемой кампании используется ряд модулей собственной разработки, в том числе:
  • Модуль загрузчика: Загружает последующие этапы, обходит "песочницы" путем перезагрузки системы и поддерживает постоянство с помощью LNK-файлов.
    Krita Loader DLL: загружается с помощью подписанных двоичных файлов и загружает модуль InjectorDLL.
    Модуль InjectorDLL: Инжектирует ElevateInjectorDLL в удаленный процесс (explorer.exe).
    Модуль ElevateInjectorDLL: Обходит "песочницы", выполняет вскрытие процессов и в зависимости от привилегий процесса внедряет троянца TOITOIN или модуль BypassUAC.
    Модуль BypassUAC: Использует моникер COM Elevation Moniker для обхода контроля учетных записей пользователей и запуска Krita Loader с правами администратора.
  • Последняя полезная нагрузка - троянец TOITOIN - использует пользовательские процедуры XOR-дешифрования для расшифровки конфигурационного файла, содержащего URL-адрес сервера Command & Control. Он передает на C&C-сервер закодированную системную информацию и сведения об установленных браузерах и модуле защиты Topaz OFD. В случае отсутствия конфигурационного файла информация передается через POST-запрос с использованием curl.

Indicators of Compromise

Domains

  • arquivosclientes.online
  • atendimento-arquivos.com
  • fantasiacinematica.online

URLs

  • http://179.188.38.7
  • http://191.252.203.222/Up/indexW.php
  • http://afroblack.shop/CasaMoveis\ClienteD.php
  • http://alemaoautopecas.com
  • http://bragancasbrasil.com
  • http://cartolabrasil.com
  • http://contatosclientes.services
  • http://ec2-3-82-104-156.compute-1.amazonaws.com/storage.php?e=Desktop-PC
  • http://ec2-3-89-143-150.compute-1.amazonaws.com/storage.php?e=Desktop-PC

MD5

  • 2fa7c647c626901321f5decde4273633
  • 690bfd65c2738e7c1c42ca8050634166
  • 7871f9a0b4b9c413a8c7085983ec9a72
  • 8fc3c83b88a3c65a749b27f8439a8416
  • b7bc67f2ef833212f25ef58887d5035a
  • c35d55b8b0ddd01aa4796d1616c09a46
  • e6c7d8d5683f338ca5c40aad462263a6
Похожие записи:
  1. BitRAT Trojan IOC
  2. Emotet Trojan IOC
  3. FFDroider Stealer IOC
  4. ZLoader Trojan IOC
  5. IcedID (BankBot) Trojan IOCs
TOITOIN trojan Zscaler ThreatLabz
Добавить комментарий