SugarGh0st RAT IOCs

remote access Trojan IOC
Опубликовано

Компания Cisco Talos недавно обнаружила вредоносную кампанию, начавшуюся, вероятно, еще в августе 2023 года, в ходе которой был обнаружен новый троян удаленного доступа (RAT), получивший название "SugarGh0st". Атакующий, скорее всего, говорит на китайском языке и нацелен на Министерство иностранных дел Узбекистана и пользователей в Южной Корее.

RAT распространяется через две цепочки заражения, которые используют Windows Shortcut с вредоносным JavaScript для доставки компонентов для сброса и запуска полезной нагрузки SugarGh0st. RAT оснащена специальными функциями для разведки, включая поиск определенных ключей реестра Open Database Connectivity (ODBC), загрузку файлов библиотек с определенными расширениями файлов и именами функций, а также специальные команды для облегчения задач удаленного администрирования по указанию C2. RAT может выполнять большинство функций удаленного управления, включая запуск обратной оболочки, выполнение произвольных команд, отправленных из C2 в виде строк с помощью командной оболочки, и доступ к камере машины жертвы для захвата экрана и сжатия захваченных данных перед отправкой их на сервер C2.

Indicators of Compromise

IPv4

  • 103.108.67.191
  • 103.148.245.235

Domains

  • account.drive-google-com.tk
  • login.drive-google-com.tk

SHA256

  • 21f19d87d2169c82efd76ddb1baa024a1e59b93f82d28f276de853fc3ef8b20e
  • 2e543adb701afd40affcb4c51bd8246398b0210bee641ca9aeffcca893c9e4a5
  • 3436135bb3839521e7712882f0f6548aff78db66a1064408c49f820a0b85d980
  • 362fde3362e307af3787b9bf0b5c71f87b659a3217e054c4d0acea8b9e6d74b0
  • 38c815729f34aef6af531edf3f0c3f09635686dbe7e5db5cb97eca5b2b5b7712
  • 410d7dc973d188cd0d962a59f48deb1cfc73adf37857765e90194f6e878d4488
  • 5ad182c913f0b5cb6a34126137c335110d4c9472f5c745cb7a438d108b03b27c
  • 66982ebd5ebb75633723c7057a1e948ac3aafe3ff808397eb0c55c853c82f9e6
  • 6dff111b6adc9e33bed20eae99bec779f1c29dd55895a71125cfbe3c90950eb2
  • 7c87451261dfce64fda987eb395694b5330fd958466c46c931440cd9dc227505
  • 7cacdc84a0d690564c8471a4f58ab192ef7d9091ab0809933f616010bbf6846a
  • 8584094f79fce97321ee82ca5da41b6830ecc6a0921bcaddb8dd337827cd7d1a
  • 9783c0eee31ce6c5f795ecf387025af5d55208ff2713c470af2042721ab38606
  • 9d9a0af09fc9065bacabf1a193cad4386b5e8e5101639e07efa82992b723f3b0
  • adb4eb33213fa81c8b6cc013a6f4a43fa8b70eb8027433cf4339b532cb6e84cf
  • bd0a1efe07fcb4af4bec1b2881a0711f0be34044680ad8cff958a68a70d4a914
  • c758eed6660786097b63ac6748236b5b6084783703ea7ee2111e8f0bcaa3652e
  • ddac61f918ed87b49ef15d05873e7f52b919758aef713145f6a7d538c714fa2e
  • ee5982a71268c84a5c062095ce135780b8c2ffb1f266c2799173fb0f7bfdd33e
  • f3ea4611c72d57eabf381d5639c3c8d1840cb005ed811f3038410fb2e04978c1
  • ff0f28f96bbb6c80fc3823fe71d5e07e1a05b06986e82a2fbe324d68ba5ab2ea
Похожие записи:
  1. Transparent Tribe (CrimsonRAT) Malware IOC
  2. ZxxZ RAT IOCs
  3. 3LOSH Сrypter Malware IOCs
  4. ModernLoader RAT IOCs
  5. LodaRAT IOCs
Cisco Talos Rat SugarGh0st
Добавить комментарий