Главная страница » IOC
0
3 года
IOC

[GS-001] Ave Maria RAT IOCs

remote access Trojan

Вредоносная программа Ave Maria - это троянец удаленного доступа, который также называется WARZONE RAT. Хакеры используют его для удаленного управления компьютерами своих жертв и кражи информации с зараженных ПК. Например, они могут удаленно активировать камеру, чтобы сделать снимки жертвы и отправить их на сервер управления.

Ave Maria

Ave Maria - это троянец удаленного доступа, стиллер и кейлоггер. Это вредоносное ПО, которое злоумышленники могут использовать для получения удаленного контроля над зараженными машинами. Когда исследователи впервые обнаружили этот троянец, он считался довольно простым. Однако более поздние образцы удивляют расширенными функциями.

Вредоносная программа доступна в виде подписки на один или три месяца и может быть свободно приобретена злоумышленниками, что типично для вирусов этого типа. Пользователи также могут приобрести динамический DNS-сервер у того же распространителя для завершения пакета.
Общее описание вредоносной программы Ave Maria

Ave Maria - это модульный RAT с продвинутым дизайном. Когда он был впервые обнаружен, исследователи полагали, что вредоносная программа довольно проста и не будет повторять историю Ryuk ransomware. После последующего анализа выяснилось, что этот вирус имеет под капотом продвинутые функции, такие как повышение привилегий и удаленное управление камерами.

Согласно результатам анализа, троянец Ave Maria способен похищать широкий спектр данных с зараженных машин. Даже такая хорошо защищенная информация, как учетные данные, хранящиеся в Mozilla Firefox, не является безопасной, несмотря на используемое шифрование PK11.

Однако некоторые части вредоносной программы кажутся незаконченными. Похоже, что авторы продолжают работать над расширением ее функциональности. Учитывая, насколько эффективен этот RAT, такая идея не может не вызывать беспокойства.

Троян Ave Maria использует эксплойт для перехвата DLL, который на данный момент не имеет обозримого исправления. Он позволяет повысить привилегии процесса Windows и дать возможность вредоносному процессу получить административный контроль над зараженной машиной. К сожалению, вредоносная программа также способна избегать обнаружения на многих целевых машинах.

Как только вредоносная программа достигает первоначальной цели, она загружает на машину дополнительные плагины и даже другие вирусы, такие как Lokibot.

Indicators of Compromise

Domains

  • santzo.warzonedns.com

Domains and port

  • santzo.warzonedns.com:5201

MD5

  • 620239d356bc0af1c8dd8846a2613424

SHA1

  • 0d3d341acc603593c8e060220e5e5046f987c065

SHA256

  • 9479384c915a5bf368753c99a365ac15a21652ee21bd5db5ccff32c6deb899f4
  • fc0c90044b94b080f307c16494369a0796ac1d4e74e7912ba79c15cca241801c
Комментарии: 0
Похожие записи
0
13 дней
IOC

Dark Caracal APT IOCs

security
В первом квартале 2024 года исследователи обнаружили новую вредоносную программу под названием Poco RAT, которая, как предполагается, является продолжением кампании Dark Caracal, начавшейся в 2022 году.
0
19 дней
IOC

UAC-0173 APT IOCs

security
CERT-UA обнаружил возобновление деятельности организованной преступной группировки UAC-0173. Эта группировка, действуя по заказу и получая денежное вознаграждение, проводит кибератаки на компьютеры нотариусов
0
19 дней
IOC

Фишинговые атаки FatalRAT нацелены на промышленные сектора АТР

security
Недавно была выявлена волна фишинговых атак, направленных на промышленные организации в Азиатско-Тихоокеанском регионе (APAC). В этих атаках используется сложный троянец удаленного доступа (RAT), известный как FatalRAT.