Группа Agenda, также известная как Qilin, использует новый загрузчик NETXLOADER, который представляет риск для конфиденциальных данных из-за своей скрытности.
Описание
Группа вымогателей Agenda, также известная как Qilin, была активной угрозой с момента обнаружения в 2022 году, продемонстрируя способность к адаптации и расширению функционала. NETXLOADER является новым загрузчиком на базе .NET, обладающим ролью вразвертывания вредоносных компонентов, таких как Agenda ransomware и SmokeLoader.
Технический анализ NETXLOADER показывает его важную роль в кибератаках, скрывающегося и трудного для анализа благодаря защите .NET Reactor 6. NETXLOADER взаимодействует с разветвленной инфраструктурой вредоносных доменов, используя обманчивые имена файлов для обхода обнаружения. Как часть кампании с участием Agenda ransomware и SmokeLoader, NETXLOADER представляет опасность среди различных инфраструктуры с динамически генерируемыми доменами, создающими временные хостинговые платформы.
Вредоносное ПО, распространяемое через NETXLOADER, маскируется под обычный сетевой трафик с помощью соглашений об именовании файлов, ложно придавая им легитимность. После развертывания, исполняемые файлы изменяют свои имена в стандартизированный формат, чтобы создать иллюзию обычных файлов и ускользнуть от обнаружения. Эти префиксы, хотя связаны с различными семействами вредоносных программ, могут быть использованы для распространения разных полезных нагрузок в будущих атаках, в зависимости от целей злоумышленников.
Индикаторы компрометации
URLs
- http://admlogs457.cfd/statweb255/index.php
- http://bloglogs757.cfd/statweb255/index.php
- http://blogmstat599.xyz/statweb255/index.php
- http://demblog797.xyz/statweb255/index.php
- http://mxblog77.cfd/777/
- http://pzh1966.com/statweb255/index.php
- http://servblog475.cfd/statweb255/index.php
- http://serverlogs295.xyz/statweb255/index.php
SHA1
- 05bf016c137230bfdc6eaae95b75a56aff76799d
- 1399e63d4662076eeed3b4498c2f958c611a4387
- 16b776ff80f08105b362f9bc76c73a21c51664c2
- 4684aa8ab09a70d0e25139286e1178c02b15920b
- Bdf33e2ba85f35ea86fb016620371fe80855fe68
- f995ec5d88afab30f9efb62ea3b30e1e1b62cdc3