Главная страница » IOC
0
10 месяцев
IOC

GHOSTENGINE Malware IOCs

security

Компания Elastic Security Labs обнаружила набор вторжений, известный как REF4578, который использует уязвимые драйверы для отключения существующих решений безопасности. Основная цель таких атак - добыча криптовалют. Основной компонент этого набора вторжений называется GHOSTENGINE, и он является сложным механизмом, позволяющим устанавливать и выполнять майнер XMRIG.

Анализ кода показал, что вторжение начинает работу с запуска PE-файла Tiworker.exe, который маскируется под легитимный файл Windows. Затем используется сценарий PowerShell для загрузки дополнительных инструментов и модулей с атакующего сервера. Отдельный компонент, называемый clearn.png, используется для очистки системы от предыдущих заражений.

GHOSTENGINE отвечает за получение и выполнение модулей на атакованной машине. Он использует HTTP и FTP для загрузки файлов с атакующего сервера. Кроме того, он пытается отключить Защитник Windows и очищает различные каналы журнала событий Windows. Он также проверяет доступное пространство на диске C: и создает запланированные задачи для обеспечения постоянности.

Сценарий get.png, связанный с GHOSTENGINE, также отключает Защитник Windows, очищает содержимое определенных папок и выполняет другие подобные операции. Он также устанавливает запланированные задачи, чтобы обеспечить постоянное присутствие на системе.

В целом, набор вторжений REF4578 является сложным и хорошо спланированным, а авторы вредоносного ПО использовали множество механизмов защиты и обфускации для уклонения от обнаружения. Они успешно использовали уязвимые драйверы и создали постоянное присутствие на атакованной системе для добычи криптовалют.

Indicators of Compromise

IPv4

  • 111.90.158.40
  • 93.95.225.137

Domains

  • download.yrnvtklot.com
  • ftp.yrnvtklot.com
  • online.yrnvtklot.com

SHA256

  • 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5
  • 2b33df9aff7cb99a782b252e8eb65ca49874a112986a1c49cd9971210597a8ae
  • 2fe78941d74d35f721556697491a438bf3573094d7ac091b42e4f59ecbd25753
  • 35eb368c14ad25e3b1c58579ebaeae71bdd8ef7f9ccecfc00474aa066b32a03f
  • 3b2724f3350cb5f017db361bd7aae49a8dbc6faa7506de6a4b8992ef3fd9d7ab
  • 3ced0552b9ecf3dfecd14cbcc3a0d246b10595d5048d7f0d4690e26ecccc1150
  • 4b5229b3250c8c08b98cb710d6c056144271de099a57ae09f5d2097fc41bd4f1
  • 6f3e913c93887a58e64da5070d96dc34d3265f456034446be89167584a0b347e
  • 786591953336594473d171e269c3617d7449876993b508daa9b96eedc12ea1ca
  • 7c242a08ee2dfd5da8a4c6bc86231985e2c26c7b9931ad0b3ea4723e49ceb1c1
  • aac7f8e174ba66d62620bd07613bac1947f996bb96b9627b42910a1db3d3e22b
  • cc4384510576131c126db3caca027c5d159d032d33ef90ef30db0daa2a0c4104
Комментарии: 0
Похожие записи
0
23 дня
IOC

FINALDRAFT RAT IOCs

remote access Trojan
FINALDRAFT - это новый троянец удаленного доступа (RAT), который был обнаружен в конце 2024 года. Исследователями его ассоциируют с группировкой REF7707, изъявившей интерес к правительственным структурам
0
3 месяца
IOC

PUMAKIT Malware IOCs

security
Исследователи из Elastic Security Labs опубликовали отчет о PUMAKIT - продвинутой вредоносной программе с многоступенчатой архитектурой, позволяющей обходить обнаружение и сохранять контроль над зараженными системами.
0
4 месяца
IOC

MaaS-злоумышленники адаптируются к исправленной защите Chrome

Spyware
Компания Elastic Security Labs обнаружила несколько методов, используемых различными семействами вредоносных программ для обхода функции шифрования Google Chrome Application-Bound Encryption, которая была
0
5 месяцев
IOC

GHOSTPULSE Malware IOCs - Part 2

security
Компания Elastic Security обнаружила значительные усовершенствования во вредоносной программе GHOSTPULSE, которая претерпела значительные изменения с момента своего обнаружения в 2023 году.