Aurora Stealer

Aurora - это вредоносная программа для кражи информации, которая впервые была разрекламирована на русскоязычных подпольных форумах в апреле 2022 года. Aurora предлагалась как вредоносное ПО как услуга (MaaS) субъектом угроз, известным как Cheshire. Это многоцелевой ботнет с возможностями кражи данных и удаленного доступа.

Aurora

По данным исследователей, не менее семи активных хак-групп используют исключительно Aurora, или сочетают этого вредоноса с применением Redline и Raccoon (двумя другими известными семействами малвари для кражи информации).

В октябре и ноябре 2022 года исследователи проанализировали несколько сотен собранных образцов и выявили десятки активных C2-серверов. Эксперты также наблюдали многочисленные цепочки заражения, ведущие к развертыванию Aurora stealer. Злоумышленники использовали такие методы доставки вредоносного ПО, как фишинговые веб-сайты, маскирующиеся под легитимные, видеоролики YouTube и поддельные сайты "каталога бесплатного программного обеспечения".

Вредоносная программа также была способна атаковать 40 криптовалютных кошельков и такие приложения, как Telegram.

Угрозы, стоящие за этой вредоносной программой, также рекламировали ее возможности загрузчика, на самом деле вредоносный код способен развернуть полезную нагрузку следующего этапа с помощью команды PowerShell.

Indicators of Compromise

IPv4

• 5.9.85.111
• 37.220.87.2
• 45.15.156.22
• 45.15.156.33
• 45.15.156.80

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Aurora.