Cisco Talos обнаружила новый троян удаленного доступа (RAT), который мы называем "MagicRAT" и который мы с умеренной или высокой степенью уверенности приписываем угрожающему субъекту Lazarus, государственному APT, приписываемому Северной Корее американским Агентством кибербезопасности и инфраструктуры (CISA). Этот новый RAT был обнаружен на жертвах, которые были первоначально скомпрометированы путем эксплуатации открытых платформ VMware Horizon. Несмотря на относительно простые возможности RAT, он был создан с использованием Qt Framework с единственной целью - затруднить человеческий анализ и снизить вероятность автоматического обнаружения с помощью машинного обучения и эвристики.
Indicators of Compromise
IPv4
- 151.106.2.139
- 193.56.28.251
- 52.202.193.124
- 64.188.27.73
- 66.154.102.91
URLs
- http://64.188.27.73/adm_bord/login_new_check.php
- http://64.188.27.73/board/logo_adm_org.gif
- http://64.188.27.73/board/mfcom1.gif
- http://64.188.27.73/board/pct.gif
- http://64.188.27.73/board/tour_upt.html
- http://gendoraduragonkgp126.com/board/index.php
SHA256
- 196fb1b6eff4e7a049cea323459cfd6c0e3900d8d69e1d80bffbaabd24c06eba
- 1c926fb3bd99f4a586ed476e4683163892f3958581bf8c24235cd2a415513b7f
- 1f8dcfaebbcd7e71c2872e0ba2fc6db81d651cf654a21d33c78eae6662e62392
- 23eff00dde0ee27dabad28c1f4ffb8b09e876f1e1a77c1e6fb735ab517d79b76
- bffe910904efd1f69544daa9b72f2a70fb29f73c51070bde4ea563de862ce4b1
- ca932ccaa30955f2fffb1122234fb1524f7de3a8e0044de1ed4fe05cab8702a5
- d20959b615af699d8fff3f0087faade16ed4919355a458a32f5ae61badb5b0ca
- f32f6b229913d68daad937cc72a57aa45291a9d623109ed48938815aa7b6005c
- f6827dc5af661fbb4bf64bc625c78283ef836c6985bb2bfb836bd0c8d5397332
- f78cabf7a0e7ed3ef2d1c976c1486281f56a6503354b87219b466f2f7a0b65c4