Bandook RAT IOCs

remote access Trojan IOC
Опубликовано

Bandook - это троян для удаленного доступа, который непрерывно разрабатывается с 2007 года и за это время использовался в различных кампаниях разными злоумышленниками.

В октябре этого года лаборатория FortiGuard Labs обнаружила новый вариант Bandook, распространяемый через PDF-файл. Этот PDF-файл содержит сокращенный URL-адрес, по которому загружается защищенный паролем файл .7z. После того как жертва извлекает вредоносную программу с помощью пароля в PDF-файле, она внедряет свою полезную нагрузку в msinfo32.exe. Компонент-инжектор расшифровывает полезную нагрузку в таблице ресурсов и внедряет ее в msinfo32.exe.

Перед инъекцией создается ключ реестра, контролирующий поведение полезной нагрузки. Имя ключа - это PID msinfo32.exe, а значение содержит управляющий код для полезной нагрузки. После выполнения с любым аргументом Bandook создает ключ реестра, содержащий другой управляющий код, который позволяет полезной нагрузке установить постоянство, а затем внедряет полезную нагрузку в новый процесс msinfo32.exe. Полезная нагрузка инициализирует строки для имен ключей реестров, флагов, API и т. д. После этого она использует PID внедренного msinfo32.exe для поиска ключа реестра, а затем декодирует и разбирает значение ключа для выполнения задачи, указанной управляющим кодом. Вариант, найденный нами в октябре 2023 года, содержит два дополнительных управляющих кода, но его инжектор не создает для них реестры. Один из них просит полезную нагрузку загрузить fcd.dll, которая загружается другим инжектируемым процессом и вызывает функцию Init файла fcd.dll. Другой механизм устанавливает постоянство и выполняет копию Bandook. Эти неиспользуемые управляющие коды были удалены из более новых вариантов.

Indicators of Compromise

IPv4

  • 45.67.34.219
  • 77.91.100.237

SHA256

  • 2e7998a8df9491dad978dee76c63cb1493945b9cf198d856a395ba0fae5c265a
  • 3169171e671315e18949b2ff334db83f81a3962b8389253561c813f01974670b
  • 430b9e91a0936978757eb8c493d06cbd2869f4e332ae00be0b759f2f229ca8ce
  • 8904ce99827280e447cb19cf226f814b24b0b4eec18dd758e7fb93476b7bf8b8
  • cd78f0f4869d986cf129a6c108264a3517dbcf16ecfc7c88ff3654a6c9be2bca
  • d3e7b5be903eb9a596b9b2b78e5dd28390c6aadb8bdd4ea1ba3d896d99fa0057
  • e87c338d926cc32c966fce2e968cf6a20c088dc6aedf0467224725ce36c9a525
Похожие записи:
  1. Dark Crystal RAT (DCRat) IOCs - Part 4
  2. Konni RAT IOCs
  3. Warzone RAT IOCs
  4. DCRat (Dark Crystal Rat) IOC
  5. Transparent Tribe (CrimsonRAT) Malware IOC
Bandook FortiGuard Labs Rat
Добавить комментарий