Quasar RAT IOCs - Part 5

remote access Trojan IOC
Опубликовано

QuasarRAT, также известный как CinaRAT или Yggdrasil, представляет собой легкий инструмент удаленного администрирования, написанный на языке C#. Этот инструмент находится в открытом доступе в виде проекта на GitHub. Он способен выполнять различные функции, такие как сбор системных данных, запуск приложений, передача файлов, запись нажатий клавиш, создание скриншотов или снимков с камеры, восстановление системных паролей, управление такими операциями, как диспетчер файлов, диспетчер запуска, удаленный рабочий стол, выполнение команд командной строки.

  1. Угрожающий агент начинает с использования методов побочной загрузки DLL. Интересно, что для своей атаки они выбрали два разных файла Microsoft: "ctfmon.exe" и "calc.exe".
  2. На начальном этапе злоумышленник использует файл "ctfmon.exe", который является подлинным файлом Microsoft. При этом он загружает вредоносную DLL-библиотеку, которая на первый взгляд кажется безопасной из-за своего замаскированного имени.
  3. После выполнения двоичного файла "ctfmon.exe" все становится на свои места: злоумышленник получает полезную нагрузку "первого этапа". Эта начальная полезная нагрузка является ключевой и служит шлюзом для последующих вредоносных действий.
  4. Освобождение полезной нагрузки: Эта полезная нагрузка "этапа 1" играет двойную роль. Она отвечает за выпуск в систему как легитимного файла "calc.exe", так и вредоносной DLL.
  5. Вторая фаза атаки: На этом этапе угрожающий агент вводит в игру файл "calc.exe", который в данном контексте не является простым приложением-калькулятором. Вместе с файлом "calc.exe" запускается и вредоносная DLL.
    При выполнении файла "calc.exe" происходит запуск вредоносной DLL. Кульминацией этого действия становится внедрение в память компьютера полезной нагрузки "QuasarRAT", что свидетельствует о мастерстве злоумышленника в обходе защитных механизмов.
  6.  Вскрытие процессов: После того как полезная нагрузка "QuasarRAT" оказывается в памяти компьютера, она применяет технику, известную как "встраивание в процесс". При этом она внедряется в легитимный системный процесс, еще больше маскируя свои вредоносные намерения и затрудняя обнаружение.

Indicators of Compromise

IPv4

  • 3.94.91.208

Domains

  • ec2-3-94-91-208.compute-1.amazonaws.com

MD5

  • 32de5c2e0ba35ceac3c515fa767e42bf
  • 532af2db4c10352b2199724d528f535f
  • 5da8c98136d98dfec4716edd79c7145f
  • 7074832f0efb8a2130b1935eae5a90d6
  • b0db6ada5b81e42aadb82032cbc5fd60
  • b625c18e177d5beb5a6f6432ccf46fb3
  • d07e4afd8f26f3e2ce4560e08b7278fb
  • e4eb623a0f675960acb002d225c6f1d6
Похожие записи:
  1. Quasar RAT IOCs
  2. Quasar RAT IOCs - Part 2
  3. Quasar RAT IOCs - Part 4
  4. DCRat (Dark Crystal Rat) IOC
  5. Transparent Tribe (CrimsonRAT) Malware IOC
Quasar Rat Uptycs
Добавить комментарий