Главная страница » IOC
0
3 месяца
IOC

EAGERBEE Backdoor IOCs

security

В ходе недавнего расследования Kaspersky Lab было обнаружено, что бэкдор EAGERBEE использовался в интернет-провайдерах и правительственных организациях на Ближнем Востоке. Новые компоненты были обнаружены, включая инжектор службы, который позволяет внедрить бэкдор в работающую службу. Также были найдены ранее недокументированные плагины, которые позволяли осуществлять различные вредоносные действия, такие как развертывание дополнительных нагрузок, исследование файловой системы и выполнение командных shell.

EAGERBEE Backdoor

Анализируя возможности бэкдора EAGERBEE, особое внимание было уделено инжектору службы и связанным с ним плагинам. Также было проведено исследование потенциальных связей между бэкдором EAGERBEE и группой угроз CoughingDown.

К сожалению, вектор первоначального доступа, использованный злоумышленниками, не был определен. Однако исследователи заметили, как были выполнены команды для развертывания инжектора бэкдора и файла с полезной нагрузкой. Были произведены изменения в атрибутах файлов и запущены команды для запуска инжектора через службу SessionEnv.

Инжектор службы бэкдора EAGERBEE нацелен на процесс службы Themes и внедряет свои байты в память процесса. Для выполнения этого инжектор заменяет обработчик управления оригинальным сервисом на свой код-заглушку. После выполнения кода-заглушки, инжектор очищает следы своей работы.

В результате данного исследования было выявлено распространение бэкдора EAGERBEE в интернет-провайдерах и правительственных организациях на Ближнем Востоке. Были обнаружены новые компоненты, включая инжектор службы и дополнительные плагины, позволяющие осуществлять вредоносные действия. Исследование также углубилось в анализ возможностей бэкдора EAGERBEE и его связи с группой угроз CoughingDown.

Indicators of Compromise

IPv4

  • 151.236.16.167
  • 194.71.107.215
  • 195.123.217.139
  • 195.123.242.120
  • 5.34.176.46
  • 62.233.57.94
  • 82.118.21.230

Domains

  • www.rambiler.com
  • www.socialentertainments.store

MD5

  • 183f73306c2d1c7266a06247cedd3ee2
  • 26d1adb6d0bcc65e758edaf71a8f665d
  • 35ece05b5500a8fc422cec87595140a7
  • 9d93528e05762875cf2d160f15554f44
  • c651412abdc9cf3105dfbafe54766c44
  • cbe0cca151a6ecea47cfaa25c3b1c8a8
Комментарии: 0
Похожие записи
0
3 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
8 дней
IOC

Latrodectus Backdoor IOCs - Part 15

security
Unidentified 111 (он же: Latrodectus, BLACKWIDOW, Latrodectus, Lotus) - впервые обнаруженный в октябре 2023 года BLACKWIDOW представляет собой бэкдор, написанный на языке C, который взаимодействует по
0
8 дней
IOC

TookPS распространяется под видом UltraViewer, AutoCAD и Ableton.

security
Исследование, проведенное в начале марта Kaspersky Lab, описывает несколько вредоносных кампаний, использующих систему DeepSeek LLM в качестве приманки, и раскрывает новые аспекты вредоносной программы TookPS.