Команда исследования SonicWall Capture Labs изучила троян CoreWarrior, который является настойчивым и быстро распространяющимся вредоносным ПО.
CoreWarrior Trojan
Он создает множество копий и обращается к нескольким IP-адресам, используя несколько сокетов для доступа к бэкдорам и элементам пользовательского интерфейса Windows. Исполняемый файл вредоносной программы запускает командную строку и передает данные с помощью curl по адресу «http://wecan.hasthe(точка)technology/upload». Каждый раз при отправке данных создается новая копия исполняемого файла и старая удаляется. Программа также устанавливает соединение с IP-адресом 172.67.183.40, но не отправляет трафик.
Вредоносная программа оснащена антианалитическими возможностями, включая антиотладку и обнаружение среды виртуальной машины. Она также использует протоколы FTP, SMTP и POP3 для утечки данных.
Indicators of Compromise
SHA256
- 85a6e921e4d5107d13c1eb8647b130a1d54ba2b6409118be7945fd71c6c8235f
- 8c97329cf7e48bb1464ac5132b6a02488b5f0358752b71e3135d9d0e4501b48d
