Специалисты ESET Research обнаружили сложный бэкдор с необычной архитектурой, который назвали Deadglyph.
- Основные компоненты зашифрованы с помощью специфического для машины ключа.
- Традиционные команды бэкдора реализуются с помощью дополнительных модулей, получаемых с его C&C-сервера.
- Мы получили три модуля из множества - создатель процесса, читатель файлов и сборщик информации.
- ESET связывает Deadglyph с группой Stealth Falcon.
- Кроме того, ESET Research обнаружили родственный загрузчик шелл-кода; ESET предполагает, что он может использоваться для установки Deadglyph.
Indicators of Compromise
IPv4
- 135.125.78.187
- 185.25.50.60
- 45.14.227.55
Domains
- chessandlinkss.com
- easymathpath.com
- joinushealth.com
SHA1
- 1805568d8362a379af09fd70d3406c6b654f189f
- 3a215912708eab6f56af953d748fbfc38e3bb468
- 3d2accea98dbdf95f0543b7c1e8a055020e74960
- 3d4d9c9f2a5aceff9e45538f5ebe723acaf83e32
- 42fb165bc9cf614996027a9fcb261d65fd513527
- 43ed9a3ad74ed7ab74c345a876b6be19039d4c8c
- 4e3018e4fd27587bd1c566930ae24442769d16f0
- 740d308565e215eb9b235cc5b720142428f540db
- 7f728d490ed6ea64a7644049914a7f2a0e563969
- 9cb373b2643c2b7f93862d2682a0d2150c7aec7e
- abd2db754795272c21407efd5080c8a705a7d151
- c40f1f46d230a85f702daa38cfa18d60481ea6c2
- e204cdcf96d9f94f9c19dbe385e635d00caaf49d
- f47cb40f6c2b303308d9d705f8cad707b9c39fa5
