IMEEX Framework IOCs

security IOC

Исследователи из компании Intezer опубликовали отчет, в котором подробно описали фреймворк IMEEX - сложное пользовательское вредоносное ПО, предназначенное для систем Windows.

IMEEX framework

Фреймворк IMEEX обладает целым рядом функциональных возможностей, таких как удаленное выполнение команд, манипулирование файлами, управление процессами и модификация реестра. Поставляемый в виде 64-битной DLL, он позволяет злоумышленникам полностью контролировать взломанные машины, а его разведывательные возможности позволяют собирать критическую системную информацию, которая отправляется на командно-контрольный (C2) сервер. Возможности IMEEX делают его мощным инструментом для удаленного управления системой, используя модульный подход, который позволяет ему загружать и выполнять компоненты по требованию, что повышает его гибкость.

IMEEX был выявлен в основном в Джибути, а менее мощный вариант был замечен в Афганистане. Однако, по оценкам Intezer, кампания, скорее всего, не ограничивается только этими странами. Вредоносная программа разработана для скрытности, она смешивается с легитимными системными процессами, такими как svchost.exe, и использует зашифрованную связь, чтобы избежать обнаружения. Она использует различные техники сохранения, такие как модификация ключей реестра и использование мьютексов для предотвращения появления множества экземпляров.

Примечательно, что наблюдаемая кампания IMEEX использует инфраструктуру, ранее замеченную в распространении ShadowPad, модульной платформы вредоносного ПО, используемой китайскими злоумышленниками, что указывает на возможную связь между этими кампаниями. Однако на данный момент Intezer не может с уверенностью отнести эту активность к таковым.

Intezer отмечает, что IMEEX был развернут в основном в регионах, имеющих геополитическое значение, причем Джибути и Афганистан являются ключевыми районами из-за их стратегической важности для мировой торговли и безопасности. По мнению компании, интересы Китая в обеих странах указывают на возможность использования вредоносного ПО, подобного IMEEX, в качестве инструмента для шпионажа и сохранения влияния без прямого конфликта.

Indicators of Compromise

IPv4

  • 45.141.139.146

Domains

  • bbsnews.sytes.net
  • erkinhorshiden.onedumb.com
  • yurtumawat.wwwhost.us
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий