Главная страница » IOC
0
7 месяцев
IOC

Babylon RAT IOCs

remote access Trojan

Исследователи из Cyble Research and Intelligence Lab (CRIL) раскрыли целенаправленную кампанию кибератак на политических деятелей и государственных чиновников Малайзии.

Кампания Babylon RAT направлена на малазийских политиков и правительство

Эта кампания, активная с июля, использует вредоносные ISO-файлы, содержащие различные обманные элементы, такие как файлы ярлыков (LNK), скрытые сценарии PowerShell, вредоносные исполняемые файлы и ложные PDF-документы. Основная цель этих файлов - развернуть Babylon RAT, троянца удаленного доступа с открытым исходным кодом, который обеспечивает злоумышленникам несанкционированный контроль над взломанными системами.

После выполнения ISO-файлы с вредоносным ПО используют сценарии PowerShell для запуска ложного PDF-файла и установки вредоносного исполняемого файла на машину жертвы. Затем этот исполняемый файл устанавливает постоянство, изменяя реестр Windows, что обеспечивает его запуск при старте системы. Конечная полезная нагрузка, Babylon RAT, позволяет злоумышленникам удаленно выполнять команды, перехватывать нажатия клавиш, красть пароли и выводить конфиденциальные данные.

Судя по всему, эта кампания является продолжением предыдущих действий того же злоумышленника, который ранее использовал Quasar RAT, еще одну RAT с открытым исходным кодом, для атак на малазийские компании. Злоумышленники используют такие передовые тактики, как динамическое разрешение API и многоуровневое шифрование, чтобы избежать обнаружения и сохранить доступ к взломанным системам.

Indicators of Compromise

Domains

  • fund.sekretariatparti.org
  • workhub-microsoft-team.com

SHA256

  • 2a5a1ae773c59f18cceada37c4d78427ff18bd9a8c0ceb584c0cf997f6ac36b0
  • 401a524c5a446107547475d27f9acd548182eac06294245dc43313b47ffa0e5c
  • 54a52310ade00eca0abb8ba32f4cacc42deb69b6e1f07309e44df2213bf2569c
  • 77e22b511cd236cae46f55e50858aea174021a1cd431beaa5e7839a9d062e4c7
  • 8e6717e88ab6bb4a96e465dc0e9db3cf371e8e75af29e4c3ebc175707702b3b6
  • b348935e378b57001e6b41d96ae498ca00dd9fb296115a4e036dad8ccc7155d3
  • b9dddf801db527b3895409443fadeeced176b3ccac220395f700e91b151076b0
  • cf2b8c735f6acc0310ec76607b5c37ef994c96c74442373686e1f3a141c7a892
  • d9f0268cbaa1ae45dfa755adab9dda2d8bdff3c8bf8a00d23bbc6894c28e225f
  • f21ae37cb39658a62c9aaa945eb4dc2b33aebe4afeb5374d36328589a53e0982
  • f30901bd966b8c4803ffd517347167b4bba2c1b85cc7b5bcbe08791e249eb86b
Комментарии: 0
Похожие записи
0
2 дня
IOC

Цепочка атак, позволяющая избежать обнаружения и усложнить анализ

security
В декабре 2024 года специалисты обнаружили сложную цепочку атак, которая использовала несколько уровней для доставки вредоносного программного обеспечения, такого как Agent Tesla, Remcos RAT или XLoader.
0
3 дня
IOC

Remcos RAT IOCs - Part 27

remote access Trojan
Remcos - это вредоносная программа типа RAT, которую злоумышленники используют для удаленного выполнения действий на зараженных машинах. Эта вредоносная программа чрезвычайно активно обновляется: обновления выходят практически каждый месяц.
0
4 дня
IOC

Новые TTP и кластеры APT, атакующие с использованием нескольких платформ

security
Команда Seqrite Labs сообщает о новых тактиках, применяемых группировкой SideCopy APT, связанной с Пакистаном. Группа расширила свою сферу деятельности, теперь включая организации, входящие в состав министерств
0
9 дней
IOC

Новый банковский троян TsarBot для Android, атакующий более 750 банковских, финансовых и криптовалютных приложений

Banking Trojan
Компания Cyble Research and Intelligence Labs (CRIL) обнаружила новый банковский троян для Android под названием TsarBot, который использует оверлейные атаки для атаки на более чем 750 банковских, финансовых