PureCrypter, загрузчик типа MaaS (Malware-as-a-Service), был замечен в этом году в продвижении более 10 других семейств и использовании сотен C2. PureCrypter использует механизм пакетов, который состоит из двух исполняемых файлов: загрузчика и инжектора, оба написаны на C#, где загрузчик отвечает за распространение инжектора, который высвобождает и запускает конечную полезную нагрузку.
- PureCrypter - это загрузчик, написанный на C#, который существует по крайней мере с 2021 года и может распространять любое другое семейство.
- PureCrypter продолжает быть активным и в этом году и распространил более 10 других семейств вредоносных программ, включая Formbook, SnakeKeylogger, AgentTesla, Redline, AsyncRAT и другие.
- Авторы PureCrypter, похоже, изобретательны, поскольку мы видели сотни C2-доменов и IP-адресов.
- PureCrypter использует суффиксы имен изображений в сочетании с инверсией, сжатием и шифрованием, чтобы избежать обнаружения.
- PureCrypter имеет длинную цепочку распространения, и большинство из них используют предварительные загрузчики, иногда смешанные с другими загрузчиками, что затрудняет обнаружение.
На практике злоумышленник создает загрузчик и инжектор с помощью конструктора, а затем пытается распространить загрузчик, который загрузит и выполнит инжектор на целевой машине, а затем инжектор сделает всю остальную работу. С точки зрения логики кода, модуль загрузчика относительно прост, с низким уровнем обфускации двоичных файлов и без сложных операций, таких как обнаружение окружения и персистентность, в то время как инжектор использует общие трюки и техники, встречающиеся в популярных загрузчиках, такие как обфускация двоичных файлов, обнаружение среды выполнения, запуск процессов puppet и т.д.
Indicators of Compromise
IPv4
- 185.157.160.214
- 185.215.113.89
- 212.192.246.195
- 45.143.201.4
- 62.204.41.69
- 80.66.75.123
- 89.34.27.167
- 91.243.44.142
IPv4 Port Combinations
- 37.0.11.164:8080
Domains
- agenttt.ac.ug
- andres.ug
- asdasgs.ug
- asdsadasrdc.ug
- beachwood.ug
- boundertime.ru
- check-time.ru
- courtneyjones.ac.ug
- danwisha.ac.ug
- hopeforhealth.com.ph
- hubvera.ac.ug
- jonescourtney.ac.ug
- leatherlites.ug
- marksidfgs.ug
- marnersstyler.ug
- mistitis.ug
- mofdold.ug
- momomolastik.ug
- nicoslag.ru
- partaususd.ru
- pdshcjvnv.ug
- pwn.letmaker.top
- pwn.oracleservice.top
- qd34g34ewdfsf23.ru
- qwertasd.ru
- qwertzx.ru
- raphaellasia.com
- rockphil.ac.ug
- rockrock.ug
- timebound.ug
- timebounder.ru
- timecheck.ug
- timekeeper.ug
- triathlethe.ug
- underdohg.ac.ug
- underdohg.ug
- www.rockrock.ug
URLs
- http://rockrock.ug/gggate.php
- https://cdn.discordapp.com/attachments/994652587494232125/1004377750762704896/ps1-6_Hjuvcier.png
MD5
- 3f20e08daaf34b563227c797b4574743
- 424ed5bcaae063a7724c49cdd93138f5
- 9b70a337824bac612946da1432295e9c
- c4c5167dec23b6dd2d565cd091a279e4