Gh0st RAT - представляет собой инструмент удаленного доступа с открытым исходным кодом и существует уже более 15 лет. Отмечается, что после выполнения программы она создает дополнительный исполняемый файл под названием "Iqgqosc.exe", который запрашивает информацию о дисках, периферийных устройствах и реестре.
Gh0st RAT устанавливает связь с командно-контрольным сервером, расположенным в Германии через порт 8001. Указывается, что IP-адрес, связанный с программой, содержит несколько сертификатов с общим именем "BangCloud", которое, вероятно, связано с хостинг-провайдером серверов в Таиланде. Большинство IP-адресов, связанных с этим именем, также принадлежат к тому же CIDR.
Indicators of Compromise
IPv4
- 146.19.100.7
- 147.50.229.12
- 147.50.253.100
- 147.50.253.101
- 147.50.253.102
- 147.50.253.103
- 147.50.253.104
- 147.50.253.105
- 147.50.253.106
- 147.50.253.107
- 147.50.253.108
- 147.50.253.109
- 147.50.253.11
- 147.50.253.110
- 147.50.253.111
- 147.50.253.112
- 147.50.253.113
- 147.50.253.114
- 147.50.253.115
- 147.50.253.116
- 147.50.253.117
- 147.50.253.119
- 147.50.253.163
- 147.50.253.167
- 147.50.253.18
- 147.50.253.2
- 147.50.253.218
- 147.50.253.219
- 147.50.253.220
- 147.50.253.222
- 147.50.253.225
- 147.50.253.228
- 147.50.253.23
- 147.50.253.231
- 147.50.253.4
- 147.50.253.5
- 147.50.253.7
- 147.50.253.99
- 154.197.12.156
- 23.237.182.122
SHA256
- A646ebf85afa29ae1c77458c575b5e4b0b145d813db028435d33b522edccdc0e
