DarkVision RAT IOCs

remote access Trojan IOC

Компания Zscaler выпустила отчет о DarkVision RAT - высоконастраиваемом трояне удаленного доступа (RAT), впервые появившемся в 2020 году и завоевавшем популярность благодаря своей доступности и широкому набору функций.

DarkVision RAT

Он позволяет злоумышленникам выполнять различные вредоносные действия, такие как кейлоггинг, захват скриншотов, кража паролей и удаленное выполнение кода. Недавно Zscaler обнаружил, что DarkVision RAT был развернут в сочетании с PureCrypter, известным загрузчиком вредоносного ПО, в кампании, проведенной в июле 2024 года. Атака включает несколько этапов, в том числе расшифровку шеллкода, использование загрузчика Donut и, в конечном итоге, внедрение DarkVision RAT.

После установки DarkVision RAT использует несколько техник, чтобы избежать обнаружения и сохранить свою жизнеспособность на зараженных системах, таких как перехват DLL, исключение из Windows Defender и манипуляции с реестром. Она взаимодействует со своим командно-контрольным (C2) сервером по специальному протоколу и поддерживает множество команд для кражи информации, манипулирования файлами и управления системой жертвы. RAT имеет модульную структуру, а плагины позволяют использовать дополнительные возможности, включая перехват веб-камеры, выключение системы и установку обратного прокси.

Indicators of Compromise

Domain Port Combinations

  • severdops.ddns.net:8120

URLs

  • nasyiahgamping.com/yknoahdrv.exe

SHA256

  • 27ccb9f336282e591e44c65841f1b5bc7f495e8561349977680161e76857be5d
  • 6e3346d47044d6df85a07aeda745d88f9cd46b20d22028d231add555bf00bf41
  • 7aa49795bbe025328e0aa5d76e46341a95255e13123306311671678fdeabb617
  • cd64122c8ee24eaf02e6161d7b74dbe79268f3b7ffb7a8b0691a61ff409f231d
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий