GuLoader IOCs - Part 15

security

GuLoader - это известный загрузчик на основе shellcode, который использовался в большом количестве атак для доставки широкого спектра "самых разыскиваемых" вредоносных программ.


GuLoader существует уже более трех лет и продолжает совершенствоваться. В последнюю версию интегрированы новые методы анти-анализа, что значительно затрудняет его анализ. Новые образцы GuLoader получают ноль обнаружений на VirusTotal, что гарантирует, что его вредоносная полезная нагрузка также остается необнаруженной.

Полезная нагрузка GuLoader полностью зашифрована, включая PE-заголовки. Это позволяет субъектам угроз хранить полезную нагрузку, используя известные публичные облачные сервисы, обходить антивирусную защиту и сохранять полезную нагрузку доступной для загрузки в течение длительного периода времени. Ранние версии GuLoader были реализованы в виде VB6-приложений, содержащих зашифрованный шелл-код. В настоящее время наиболее распространенные версии основаны на VBScript и установщике NSIS. Вариант VBScript хранит шеллкод на удаленном сервере.

Indicators of Compromise

URLs

  • http://34.138.169.8/wp-content/themes/seotheme/CbwPtnKqeAYGeixiNB73.inf
  • https://drive.google.com/uc?export=download&id=1BZ2BJVzqOMDwarpjiTzKEiwa42W1Dj9q
  • https://drive.google.com/uc?export=download&id=1soTWv6y3rkBBbmMcBMOwovCqXxU4UQRB

MD5

  • 141da1d174041a32cc6a234d80d0b850
  • 40b9ca22013d02303d49d8f922ac2739
  • 66274853e6f35e3fef0645a6587cb892
  • 9623c946671c6ec7a30b7c45125d5d48
  • bcea24378a2134429ca82164827f1c25
  • c6e068ce04fb4959e2e6daaebac8d893
  • d5335a1ec161a8430e564bc66c16f894
Комментарии: 0