PureCrypter IOCs

botnet IOC

PureCrypter, загрузчик типа MaaS (Malware-as-a-Service), был замечен в этом году в продвижении более 10 других семейств и использовании сотен C2. PureCrypter использует механизм пакетов, который состоит из двух исполняемых файлов: загрузчика и инжектора, оба написаны на C#, где загрузчик отвечает за распространение инжектора, который высвобождает и запускает конечную полезную нагрузку.

  • PureCrypter - это загрузчик, написанный на C#, который существует по крайней мере с 2021 года и может распространять любое другое семейство.
  • PureCrypter продолжает быть активным и в этом году и распространил более 10 других семейств вредоносных программ, включая Formbook, SnakeKeylogger, AgentTesla, Redline, AsyncRAT и другие.
  • Авторы PureCrypter, похоже, изобретательны, поскольку мы видели сотни C2-доменов и IP-адресов.
  • PureCrypter использует суффиксы имен изображений в сочетании с инверсией, сжатием и шифрованием, чтобы избежать обнаружения.
  • PureCrypter имеет длинную цепочку распространения, и большинство из них используют предварительные загрузчики, иногда смешанные с другими загрузчиками, что затрудняет обнаружение.

На практике злоумышленник создает загрузчик и инжектор с помощью конструктора, а затем пытается распространить загрузчик, который загрузит и выполнит инжектор на целевой машине, а затем инжектор сделает всю остальную работу. С точки зрения логики кода, модуль загрузчика относительно прост, с низким уровнем обфускации двоичных файлов и без сложных операций, таких как обнаружение окружения и персистентность, в то время как инжектор использует общие трюки и техники, встречающиеся в популярных загрузчиках, такие как обфускация двоичных файлов, обнаружение среды выполнения, запуск процессов puppet и т.д.

Indicators of Compromise

IPv4

  • 185.157.160.214
  • 185.215.113.89
  • 212.192.246.195
  • 45.143.201.4
  • 62.204.41.69
  • 80.66.75.123
  • 89.34.27.167
  • 91.243.44.142

IPv4 Port Combinations

  • 37.0.11.164:8080

Domains

  • agenttt.ac.ug
  • andres.ug
  • asdasgs.ug
  • asdsadasrdc.ug
  • beachwood.ug
  • boundertime.ru
  • check-time.ru
  • courtneyjones.ac.ug
  • danwisha.ac.ug
  • hopeforhealth.com.ph
  • hubvera.ac.ug
  • jonescourtney.ac.ug
  • leatherlites.ug
  • marksidfgs.ug
  • marnersstyler.ug
  • mistitis.ug
  • mofdold.ug
  • momomolastik.ug
  • nicoslag.ru
  • partaususd.ru
  • pdshcjvnv.ug
  • pwn.letmaker.top
  • pwn.oracleservice.top
  • qd34g34ewdfsf23.ru
  • qwertasd.ru
  • qwertzx.ru
  • raphaellasia.com
  • rockphil.ac.ug
  • rockrock.ug
  • timebound.ug
  • timebounder.ru
  • timecheck.ug
  • timekeeper.ug
  • triathlethe.ug
  • underdohg.ac.ug
  • underdohg.ug
  • www.rockrock.ug

URLs

  • http://rockrock.ug/gggate.php
  • https://cdn.discordapp.com/attachments/994652587494232125/1004377750762704896/ps1-6_Hjuvcier.png

MD5

  • 3f20e08daaf34b563227c797b4574743
  • 424ed5bcaae063a7724c49cdd93138f5
  • 9b70a337824bac612946da1432295e9c
  • c4c5167dec23b6dd2d565cd091a279e4

 

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий