Главная страница » IOC
0
2 года
IOC

GobRAT Malware IOCs

remote access Trojan

JPCERT/CC подтвердил атаки, в результате которых маршрутизаторы в Японии были заражены вредоносным ПО примерно в феврале 2023 года.

GobRAT - это RAT, написанный на языке Go, который взаимодействует с сервером C2 через TLS и выполняет различные команды. Он упакован в UPX версии 4 серии, и были подтверждены образцы для различных архитектур, таких как ARM, MIPS, x86 и x86-64. GobRAT выполняет следующие проверки при запуске и хранит информацию внутри самого образца.

Первоначально злоумышленник нацеливается на маршрутизатор, WEBUI которого открыт для публики, выполняет скрипты, возможно, используя уязвимости, и, наконец, заражает GobRAT.

Loader Script работает как загрузчик, содержащий такие функции, как генерация различных скриптов и загрузка GobRAT. Открытый ключ SSH, который, как предполагается, будет использоваться для бэкдора, жестко закодирован в скрипте. Кроме того, поскольку Loader Script использует crontab для регистрации пути к файлу Start Script для сохранения, GobRAT не имеет такой функции. Функции скрипта Loader Script следующие:

  • Функция отключения брандмауэра
  • Загрузить GobRAT для архитектуры целевой машины
  • Создать сценарий запуска и сделать его постоянным
  • Создать и запустить Daemon Script.
  • Зарегистрировать открытый ключ SSH в /root/.ssh/authorized_keys.

Indicators of Compromise

Domains

  • ktlvz.dnsfailover.net
  • su.vealcat.com
  • wpksi.mefound.com

URLs

  • http://ktlvz.dnsfailover.net:58888
  • http://su.vealcat.com:58888

SHA256

  • 060acb2a5df6560acab9989d6f019fb311d88d5511f3eda0effcbd9fc6bd12bb
  • 0c280f0b7c16c0d299e306d2c97b0bff3015352d2b3299cf485de189782a4e25
  • 2c1566a2e03c63b67fbdd80b4a67535e9ed969ea3e3013f0ba503cfa58e287e3
  • 300a92a67940cfafeed1cf1c0af25f4869598ae58e615ecc559434111ab717cd
  • 3bee59d74c24ef33351dc31ba697b99d41c8898685d143cd48bccdff707547c0
  • 3e1a03f1dd10c3e050b5f455f37e946c214762ed9516996418d34a246daed521
  • 3e44c807a25a56f4068b5b8186eee5002eed6f26d665a8b791c472ad154585d1
  • 43dc911a2e396791dc5a0f8996ae77ac527add02118adf66ac5c56291269527e
  • 4ceb27da700807be6aa3221022ef59ce6e9f1cda52838ae716746c1bbdee7c3d
  • 60bcd645450e4c846238cf0e7226dc40c84c96eba99f6b2cffcd0ab4a391c8b3
  • 6748c22d76b8803e2deb3dad1e1fa7a8d8ff1e968eb340311fd82ea5d7277019
  • 98c05ae70e69e3585fc026e67b356421f0b3d6ab45b45e8cc5eb35f16fef130c
  • a363dea1efda1991d6c10cc637e3ab7d8e4af4bd2d3938036f03633a2cb20e88
  • a8b914df166fd0c94106f004e8ca0ca80a36c6f2623f87a4e9afe7d86b5b2e3a
  • aeed77896de38802b85a19bfcb8f2a1d567538ddc1b045bcdb29cb9e05919b60
  • af0292e4de92032ede613dc69373de7f5a182d9cbba1ed49f589ef484ad1ee3e
  • c71ff7514c8b7c448a8c1982308aaffed94f435a65c9fdc8f0249a13095f665e
  • e133e05d6941ef1c2e3281f1abb837c3e152fdeaffefde84ffe25338fe02c56d
  • f962b594a847f47473488a2b860094da45190738f2825d82afc308b2a250b5fb
  • feaef47defd8b4988e09c8b11967e20211b54e16e6df488780e2490d7c7fa02a
Комментарии: 0
Похожие записи
0
5 дней
IOC

NEPTUNE RAT: продвинутая Windows RAT с возможностью разрушения системы и извлечения паролей из 270+ приложений

remote access Trojan
Neptune RAT использует передовые методы антианализа и персистентные методы для сохранения своего присутствия в системе жертвы в течение длительного времени и оснащен такими опасными функциями, как криптокопилка
0
13 дней
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера