Главная страница » IOC
0
7 месяцев
IOC

AsyncRAT Malware IOCs - XXII

remote access Trojan

Недавняя кампания вредоносного ПО AsyncRAT, наблюдаемая лабораторией X-Labs компании Forcepoint, использует инновационные методы для проникновения в системы Windows и кражи конфиденциальных данных.

AsyncRAT

Эта кампания доставляет вредоносную полезную нагрузку через сервис быстрого туннелирования TryCloudflare и пакеты Python, эксплуатируя временную туннельную инфраструктуру, обеспечивающую удаленный доступ. Злоумышленники распространяют вредоносную программу с помощью фишинговых писем с HTML-вложениями, использующими URI-протокол «search-ms» для запуска загрузки вредоносных LNK-файлов с WebDAV-сервера TryCloudflare. Щелчок по этим LNK-файлам запускает цепочку загрузок, начиная с исполняемого PowerShell BAT-файла, который далее загружает и исполняет дополнительные обфусцированные скрипты и пакеты Python.

Загруженные Python-скрипты используют ctypes для внедрения вредоносного кода в легитимные процессы, такие как notepad.exe, для поддержания постоянства и подключения к различным командно-контрольным (C2) серверам. Скрипты также отображают поддельные PDF-фактуры, чтобы обмануть жертв и скрыть вредоносную деятельность. Злоумышленники атаковали такие отрасли, как здравоохранение, туризм и банковское дело, используя функцию «search-ms» и задействуя для своих операций недорогие временные инфраструктуры.

Indicators of Compromise

Domains

  • anachyyyyy.duckdns.org
  • bangkok-generally-ensemble-nfl.trycloudflare.com
  • be-broadband-wp-canon.trycloudflare.com
  • drvenomjh.duckdns.org
  • float-suppose-msg-pulling.trycloudflare.com
  • ghdsasync.duckdns.org
  • ncmomenthv.duckdns.org
  • researchers-hrs-auctions-coating.trycloudflare.com
  • rvenom.duckdns.org
  • travel-scholar-an-equity.trycloudflare.com
  • vxsrwrm.duckdns.org
  • xoowill56.duckdns.org

SHA1

  • 05839f45d737f73041c8e5d0ba77044592074f6a
  • 07095f8f4d920b47f788a8ba52a8ab8902faaa5f
  • 16ea141a7d3f622f21a06c694adcb7597707be56
  • 3292a7228bc9c5f20ddeaf106a54838e7b4f188c
  • 77ecf69228836fa6a6c79bc26fe1f98f21b7118a
  • 83132dda0bd86740c931aec8149f86b30674642a
  • a78711dc104fc079a781e61a06e0abefe4823add
  • ab069b312dd07d23e1b0cfe397775c7b37c1c5ad
  • c9103b859d1cd93ce4a83c782fa4807553120a6d
  • d83fa1a7885143b0d851fd8fb04d54b539790609
  • e6c4bdf3c3c1bc32e49caab17a1f3167d43b3406
  • e9853f91bd8a9ed694275fd72f97bdf52775a1d5
Комментарии: 0
Похожие записи
1
7 дней
IOC

PJobRAT снова атакует чат-приложения

remote access Trojan
RAT-троян PJobRAT, предназначенный для андроид-устройств, был впервые обнаружен в 2019 году и нацелен на индийских военнослужащих. Недавно исследователи Sophos X-Ops обнаружили новую кампанию, нацеленную на пользователей из Тайваня.