Lightning Framework IOCs

security IOC

Lightning Framework - это новый необнаруженный "швейцарский армейский нож", похожий на вредоносное ПО Linux, имеющий модульные плагины и возможность установки руткитов. Фреймворк имеет как пассивные, так и активные возможности для связи с субъектом угрозы, включая открытие SSH на зараженной машине, а также полиморфную изменяемую конфигурацию команд и управления.


Фреймворк состоит из загрузчика и основного модуля, а также ряда подключаемых модулей. Некоторые из плагинов, используемых вредоносной программой, являются инструментами с открытым исходным кодом. Чтобы остаться незамеченным, фреймворк активно использует опечатки и маскировку. Сетевое взаимодействие в модулях Core и Downloader осуществляется через TCP-сокеты. Данные структурированы в JSON. C2 хранится в полиморфно закодированном конфигурационном файле, который уникален для каждого отдельного создания. Это означает, что конфигурационные файлы невозможно обнаружить с помощью таких методов, как хэширование.

Indicators of Compromise

SHA256

  • 48f9471c20316b295704e6f8feb2196dd619799edec5835734fc24051f45c5b7
  • ad16989a3ebf0b416681f8db31af098e02eabd25452f8d781383547ead395237
  • fd285c2fb4d42dde23590118dba016bf5b846625da3abdbe48773530a07bcd1e
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий