Agenda Ransomware пополнила свой арсенал SmokeLoader и NETXLOADER

Группа вымогателей Agenda, также известная как Qilin, была активной угрозой с момента обнаружения в 2022 году, продемонстрируя способность к адаптации и расширению функционала. NETXLOADER является новым загрузчиком на базе .NET, обладающим ролью вразвертывания вредоносных компонентов, таких как Agenda ransomware и SmokeLoader.

Технический анализ NETXLOADER показывает его важную роль в кибератаках, скрывающегося и трудного для анализа благодаря защите .NET Reactor 6. NETXLOADER взаимодействует с разветвленной инфраструктурой вредоносных доменов, используя обманчивые имена файлов для обхода обнаружения. Как часть кампании с участием Agenda ransomware и SmokeLoader, NETXLOADER представляет опасность среди различных инфраструктуры с динамически генерируемыми доменами, создающими временные хостинговые платформы.

Вредоносное ПО, распространяемое через NETXLOADER, маскируется под обычный сетевой трафик с помощью соглашений об именовании файлов, ложно придавая им легитимность. После развертывания, исполняемые файлы изменяют свои имена в стандартизированный формат, чтобы создать иллюзию обычных файлов и ускользнуть от обнаружения. Эти префиксы, хотя связаны с различными семействами вредоносных программ, могут быть использованы для распространения разных полезных нагрузок в будущих атаках, в зависимости от целей злоумышленников.

URLs

• http://admlogs457.cfd/statweb255/index.php
• http://bloglogs757.cfd/statweb255/index.php
• http://blogmstat599.xyz/statweb255/index.php
• http://demblog797.xyz/statweb255/index.php
• http://mxblog77.cfd/777/
• http://pzh1966.com/statweb255/index.php
• http://servblog475.cfd/statweb255/index.php
• http://serverlogs295.xyz/statweb255/index.php

SHA1

• 05bf016c137230bfdc6eaae95b75a56aff76799d
• 1399e63d4662076eeed3b4498c2f958c611a4387
• 16b776ff80f08105b362f9bc76c73a21c51664c2
• 4684aa8ab09a70d0e25139286e1178c02b15920b
• Bdf33e2ba85f35ea86fb016620371fe80855fe68
• f995ec5d88afab30f9efb62ea3b30e1e1b62cdc3