CleverSoar Malware IOCs

security IOC

Исследователи из Rapid7 Labs обнаружили новый установщик вредоносного ПО, получивший название CleverSoar, который используется для воздействия на жертв, говорящих на китайском и вьетнамском языках.

CleverSoar

Установщик использует современные вредоносные инструменты, включая фреймворк Winos4.0 и руткит Nidhogg, позволяющие осуществлять такие действия, как кража данных, регистрация нажатий клавиш и обход мер безопасности. Вредоносная программа распространяется через поддельные инсталляторы .msi, замаскированные под игровые или связанные с программным обеспечением приложения. Он избирательно выбирает системы на основе языковых настроек, завершая процесс, если язык не китайский или вьетнамский, что указывает на региональные мотивы шпионажа.

Rapid7 обнаружила в CleverSoar сложные методы защиты от обнаружения, такие как проверка виртуальных машин (VM) на уровне прошивки, уклонение от Windows Defender и методы защиты от отладки. Вредоносная программа также использует такие механизмы защиты, как запланированные задачи и установка руткитов, что позволяет ей оставаться активной на взломанных системах. Интересно, что вредоносная программа отключает антивирусные инструменты, выключает брандмауэр и настраивает свою полезную нагрузку, чтобы избежать обнаружения.

Хотя авторство остается неясным, сходство с предыдущими кампаниями позволяет предположить связь с той же группой, которая стоит за вредоносной программой ValleyRAT.

Замысловатый дизайн CleverSoar и его нацеленность на шпионаж подчеркивают важность проактивной защиты, особенно для пользователей в пострадавших регионах.

Indicators of Compromise

IPv4

  • 156.224.26.7

Domains

  • 8848.twilight.zip

SHA256

  • F70b34e2b1716528a3c3fffdbfc008003b9685f1a4da2e5a6052612de92b0c68
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий