JanelaRAT Malware IOCs

remote access Trojan IOC
Опубликовано

В июне 2023 года исследовательская группа Zscaler ThreatLabz обнаружила угрозу, направленную на пользователей FinTech в регионе LATAM. JanelaRAT использует несколько тактик, техник и процедур (TTP), таких как боковая загрузка DLL, динамическая инфраструктура C2 и многоступенчатая атака.

  • Вредоносная программа, участвующая в этой кампании, представляет собой сильно модифицированный вариант BX RAT.
  • По состоянию на июнь 2023 года JanelaRAT в основном нацелена на финансовые и криптовалютные данные банков и финансовых учреждений LATAM.
  • JanelaRAT обладает механизмом чувствительности к заголовкам окон, который позволяет вредоносной программе перехватывать данные о заголовках окон и отправлять их злоумышленникам.
  • JanelaRAT использует систему динамической конфигурации сокетов. В инфраструктуре C2, используемой злоумышленниками, активно используются динамические DNS-сервисы. Каждый домен в инфраструктуре настраивается таким образом, чтобы быть активным только в определенный день месяца.
  • JanelaRAT использует методы побочной загрузки DLL из легитимных источников (таких как VMWare и Microsoft) для обхода обнаружения конечных точек.
  • Разработчик JanelaRAT является португалоговорящим. В строках вредоносной программы, метаданных, расшифрованных строках и т.д. активно используется португальский язык.

Indicators of Compromise

IPv4

  • 102.165.46.28
  • 167.88.168.132
  • 189.89.15.37
  • 191.96.224.215
  • 191.96.79.24
  • 192.99.169.240

Domains

  • 439mdxmex.damnserver.com
  • 897midasgold.ddns.me
  • 9mdxmex.damnserver.com
  • aigodmoney009.access.ly
  • askmrpc747bm.mymediapc.net
  • brockmex57.golffan.us
  • cinfintymex.geekgalaxy.com
  • cnt-blackrock.geekgalaxy.com
  • disrupmoney979.ditchyourip.com
  • dmrpc77bm.myactivedirectory.com
  • freelascdmx979.couchpotatofries.org
  • hotdiamond777.loginto.me
  • i89bydzi.dynns.com
  • ikmidasgold.ddns.me
  • imrpc7987bm.mmafan.biz
  • infintymex747.geekgalaxy.com
  • infintymexb.geekgalaxy.com
  • infintymexbrock.geekgalaxy.com
  • irocketxmtm.hopto.me
  • izt89bydzi.dynns.com
  • j1d3c3mex.homesecuritypc.com
  • jinfintymexbr.geekgalaxy.com
  • jxjmrpc797bm.mydissent.net
  • kakarotomx.dnsfor.me
  • kktkarotomx.dnsfor.me
  • megaskigoldmex.dvrcam.info
  • minfintymexbr.geekgalaxy.com
  • myfunbmdablo99.hosthampster.com
  • myinfintyme09.geekgalaxy.com
  • rexsrupmoney979.ditchyourip.com
  • skigoldmex.dvrcam.info
  • zeedinfintymexbrock.geekgalaxy.com

URLs

  • http://45.42.160.55/
  • http://zimbawhite.is-certified.com:3001/clientes/[1-44]

MD5

  • 0898c4c1cb698cd29707db44352ab868
  • 0cf2707ce1dccd6054813cb9207bf3d4
  • 172ca00d32a201f5e917bc4d73f720a1
  • 18ed52de642d3f3aab7c271804bd005a
  • 1a47c3afa06960e8d8f54e507aa23675
  • 1b72c12db8a37103a37cab5b3b14398c
  • 1fc6298c88b3ea2030cc0382369d0bb9
  • 24c6bff8ebfd532f91ebe06dc13637cb
  • 2cbee69042a4d85ecfe6e55639b1b42a
  • 304202cbc70412e76a216257ff4d2085
  • 36a8a7407f084b4ae461b6bb4dd0b65c
  • 3870e4a4d86a34424ea47bdaa722cd89
  • 397e407e63128e71089971e3b35dd253
  • 398d0268535cba57fa3b33159bbe04f3
  • 3a336c5c7bd08587ad1709294d044e41
  • 3bbfc1f2e20ba8209d057c215303b2bf
  • 3cbe59c309f803fffdadcc69d3578a53
  • 3ec6342286d5b699bc1fb2ef6598f906
  • 42eb945b1b881b2319a74af06b1037db
  • 44d9f29a81a2f2df83b6000165e8a06f
  • 48c189e5dfe28b9d2b32fd813a991adb
  • 4a1465999cdd9ee687b72289df05eaa9
  • 4b142b23110fbb7b98ad49c051d7a1af
  • 4c9c287103defb55b9e89278800e4025
  • 4d62fc39e2586da78b65fff6dc844670
  • 505fab6d83ef86a4b12b5808047fa7f1
  • 51268b9681df47022c44af43f9d57255
  • 526a0b2d142567d8078e24ab0758fad7
  • 5335caa5d199eac6f67b2e911b6b1e37
  • 596de51352cbeb0d26d861e991889578
  • 5a5106ee07d277b373d13c9f3160fea0
  • 5f628223fa083e4598badfe7efae5269
  • 6364aa555ae8fd0ba5a8d97a2ffa314a
  • 691cc21dae6e320564f74d6372e94286
  • 72c02b3181c763d0e67f060e91635a97
  • 72f4e0f7ff7a82c1e5cb6480c0c90a00
  • 7548edc03021561c4d7a1b386aaa7696
  • 76887ccf6de5b5f8d70cd6d91450b131
  • 7b70c957449ab51f8d561582f229d5cf
  • 81618be603bca301ac156ed169444569
  • 84919bf0583c0e6c04e606f34a1d56f3
  • 897e8483b673db70fdc5d3d111600cac
  • 8b83e6b2d891cdf9250e9afd17081eab
  • 8ca3dd771adbba82d28ce7ba4a0b8c97
  • 900445a57f462d0df130c3612e6caed7
  • 999a9af2cd20a8c4bcf652e3523aafa3
  • 99bf0fba15aa3a9a59cbf442a80364e5
  • aa3162289e7e848b7aeb19c8b85131fd
  • b036f1351ed5af87005978c7b6036d3d
  • b1e1134c82fdfe283948930089474574
  • b2aaee6945f75caa1c44bca3e2812993
  • ba2bd2d31cf591480b69e106b0e77b5c
  • c2f4cb0da89b4ea86ab5369a942428eb
  • c39f75423862c1525f089a5e966b9d04
  • c5f2d6d3d3ac3521d2b2f7fa90d3ee5e
  • c625443768b40cfbc93e28b92e874740
  • c86fdacd8af28cb08ef406bc6d4fc5a7
  • d057c499f440b77cfcad8d859d389915
  • d1684fa84602a2d560b47dfe0f0779b4
  • da48cd57e4b45cba63716bc2d53c4c76
  • e166bd80341871c9d752537f80584334
  • e2d7101f405ed88aba89bf39d56ee7a8
  • e2f9e1dfb24c9deb7f4a3c0c5c1fd016
  • e56d8632db98b07d2b49423f7dd64b42
  • e684e872213432320c78f56c72c88a8e
  • e6c501b52165cd278724ea229e44a8b9
  • e841f4691e5107fe360b1528384a96f0
  • ec60bc4522fa58bfe9592abde33948a7
  • f4a42ef33e3a3a41b4e7ee0cd3173fb6
  • f71471d7e94ef739a8ee44125023b750
  • fc79aa5093f55dfa18a20f538c5e475e

 

Похожие записи:
  1. AsyncRAT RAT IOCs
  2. DCRat (Dark Crystal Rat) IOC
  3. Transparent Tribe (CrimsonRAT) Malware IOC
  4. Borat RAT (Remote Access Trojan) IOC
  5. FFDroider Stealer IOC
JanelaRAT Rat Zscaler ThreatLabz
Добавить комментарий