DuckTail, базирующейся, по некоторым данным, во Вьетнаме. Одна из их атак была обнаружена, и в результате анализа было обнаружено, что в атаке используется особенность языка .NET - AOT-компиляция. Информация о .NET и его преимуществах и недостатках. Реверс-инженерам с MSIL было относительно легко восстановить исходный код, но с появлением AOT становится необходимо анализировать код на уровне ассемблера. AOT-компиляция позволяет разработчикам создавать нативные двоичные файлы напрямую, без использования промежуточного языка, что усложняет обнаружение вредоносного кода.
Indicators of Compromise
SHA256
- 1e082ed9733b033a0c9b27a0d1146397771b350b013ea3e9fba228e1400a263f
- 268aec06d44359b21bfe1c0c13abb75d1e37add2c8512acb6e0a0835b939b9b9
- 6d689bfc12d18a6e4dae9309e3260f71d93de1fb9864f8545cbc30a24e181b1f
- 7fd054a810f5d942bc18d91d8e31285b484982bf5c8ace0c12c8ad64b0f183d4
- 9b8a1424cd299629e8dccdb1c7c4f3caad78fecec083c9e27b6a3dc281d5b1ca
- 9ba3b2ce74d60e0960be0e2544f7497339f1f115db93afb94e5512a8c990f63f
- ab8d86ac204d9c9ae689d87b9d2f7319b38125f7659ff2ba7cbfed13cbf0a13d
