Главная страница » IOC
0
6 месяцев
IOC

Хакеры используют Steam, YouTube и X для координации атак

security

Популярный игровой и коммуникационный сервис Steam привлек не только геймеров, но и разработчиков вредоносного ПО, использующих технику Dead Drop Resolver (DDR). Такие семейства вредоносных программ, как Vidar, Lumma, ACR и MetaStealer, адаптировали сервис Steam для получения адресов команд и управления (C2) из профилей пользователей.

Dead Drop Resolver

DDR подразумевает использование легитимных ресурсов для публикации информации, связанной с C2, которая может быть зашифрована, закодирована или находиться в открытом виде. Для публикации этой информации злоумышленники используют такие популярные сайты, как Pastebin, Twitter, YouTube, а теперь и Steamcommunity.com.

Dead Drop Resolver позволяет злоумышленникам создавать стабильную инфраструктуру C2, обновляя информацию о доступном командном сервере в любое время, не вызывая подозрений. Эта техника также усложняет идентификацию инфраструктуры, поскольку в ней нет явных ссылок на C2 или конфигурацию. Среди семейств стилеров, использующих эту технику, хорошо известен Vidar Stealer, распространяемый по принципу Malware-as-a-Service. Поддержка и функциональность стилера активно улучшались, а упоминания об использовании Steam для распространения C2-информации появились еще в январе 2023 года. По словам разработчиков, сочетание Steam и Telegram оказалось наиболее стабильным и успешным методом.

Эффективность использования Steam в качестве платформы для распространения C2 может быть связана с модерацией перечисленных ресурсов. Злоумышленники могут легко изменить информацию в своих профилях Steam или каналах Telegram и обновить адрес C2-сервера без каких-либо ограничений. Такая гибкость позволяет им не модифицировать исходный код или конфигурацию стиллера. Vidar Stealer также может использоваться совместно с другими инфостилерами, такими как StealC, который может загружать Vidar и Lumma по команде из C2.

Был обнаружен пример Vidar Stealer, который представляет собой файл PE32 .NET, подписанный украденным сертификатом NVIDIA. Он использует .NET-дроппер для расшифровки шеллкода и внедрения следующего этапа в процесс RegAsm.exe. В примере используется обфускация строк и динамическое разрешение импорта. Также был проанализирован другой образец Vidar Stealer, который генерирует имя папки на основе системного времени и имеет жестко закодированный идентификатор в имени пользователя Steam или в описании Telegram-канала перед C2-адресом.

В заключение отметим, что использование техники Dead Drop Resolver в контексте Steam привлекло внимание разработчиков вредоносного ПО, включая такие популярные семейства стимеров, как Vidar, Lumma и ACR. Эта техника позволяет злоумышленникам создать стабильную C2-инфраструктуру, публикуя информацию, связанную с C2, на легитимных ресурсах, таких как профили Steam. Vidar Stealer - один из известных инструментов, адаптировавших сервис Steam для своих целей. Он распространяется по принципу Malware-as-a-Service и активно совершенствуется с течением времени. Эффективность использования Steam в качестве платформы для распространения C2 заключается в модерировании платформы, что позволяет злоумышленникам легко обновлять адреса своих C2-серверов без обнаружения. Кроме того, проанализированный образец Vidar Stealer продемонстрировал использование строковой обфускации и динамического разрешения импорта. В целом адаптация Steam разработчиками вредоносного ПО подчеркивает необходимость усиления мер безопасности для защиты пользователей платформы.

Indicators of Compromise

Domains

  • a-bc.xyz
  • ctze.xyz
  • ddbc.xyz
  • dd-d.xyz
  • fastsecurityup.com
  • feelystroll.buzz
  • frtk.xyz
  • fruk.xyz
  • kwqislxk.xyz
  • llal.xyz
  • llcl.xyz
  • lldl.xyz
  • llml.xyz
  • llnl.xyz
  • Llpl.xyz
  • llxl.xyz
  • llzl.xyz
  • pbdbj.xyz
  • pbpbj.xyz
  • pcvcf.xyz
  • pcvvf.xyz
  • pddbj.xyz
  • pdddj.xyz
  • pdddk.xyz
  • plpoh.xyz
  • pnnnb.xyz
  • pqdrf.xyz
  • psdrf.xyz
  • ptdrf.xyz
  • tenntysjuxmz.shop

Domain Port Combinations

  • Da.tadot.xyz:443

URLs

  • http://128.140.41.121
  • http://159.69.26.61
  • http://195.201.121.147
  • http://195.201.251.109
  • http://49.12.117.107
  • http://78.47.226.24
  • http://88.198.116.74:80
  • http://95.216.183.16:80
  • https://135.181.31.18
  • https://168.119.60.168
  • https://188.245.87.202
  • https://195.201.118.191
  • https://37.27.31.150
  • https://5.75.208.137
  • https://5.75.253.161
  • https://65.108.55.55:9000
  • https://65.109.11.145
  • https://65.109.140.8
  • https://65.21.109.161
  • https://65.21.187.53
  • https://65.21.246.249
  • https://78.46.201.42
  • https://95.217.135.112
  • https://95.217.9.149
  • https://frgk.xyz
  • https://frjk.xyz
  • https://frpk.xyz
  • https://frsk.xyz
  • https://iicc.fun
  • https://t.me/asdfghjrrewqqqqtfg
  • https://t.me/edm0d
  • https://trxh.xyz
  • https://trxq.xyz
  • https://trxu.xyz
  • steamcommunity.com/profiles/76561198982268531
  • steamcommunity.com/profiles/76561199038841443
  • steamcommunity.com/profiles/76561199380787054
  • steamcommunity.com/profiles/76561199471222742
  • steamcommunity.com/profiles/76561199471266194
  • steamcommunity.com/profiles/76561199472266392
  • steamcommunity.com/profiles/76561199482248283
  • steamcommunity.com/profiles/76561199486572327
  • steamcommunity.com/profiles/76561199520592470
  • steamcommunity.com/profiles/76561199550790047
  • steamcommunity.com/profiles/76561199601319247
  • steamcommunity.com/profiles/76561199609760273
  • steamcommunity.com/profiles/76561199618998288
  • steamcommunity.com/profiles/76561199619076636
  • steamcommunity.com/profiles/76561199619157993
  • steamcommunity.com/profiles/76561199619374961
  • steamcommunity.com/profiles/76561199619383712
  • steamcommunity.com/profiles/76561199619468640
  • steamcommunity.com/profiles/76561199619471799
  • steamcommunity.com/profiles/76561199619525937
  • steamcommunity.com/profiles/76561199619564077
  • steamcommunity.com/profiles/76561199619729848
  • steamcommunity.com/profiles/76561199619783336
  • steamcommunity.com/profiles/76561199619855608
  • steamcommunity.com/profiles/76561199619915856
  • steamcommunity.com/profiles/76561199619916287
  • steamcommunity.com/profiles/76561199619927938
  • steamcommunity.com/profiles/76561199619938930
  • steamcommunity.com/profiles/76561199619987302
  • steamcommunity.com/profiles/76561199620057897
  • steamcommunity.com/profiles/76561199620058328
  • steamcommunity.com/profiles/76561199620321083
  • steamcommunity.com/profiles/76561199620444957
  • steamcommunity.com/profiles/76561199620585818
  • steamcommunity.com/profiles/76561199620788109
  • steamcommunity.com/profiles/76561199620821253
  • steamcommunity.com/profiles/76561199621302269
  • steamcommunity.com/profiles/76561199621451974
  • steamcommunity.com/profiles/76561199631487327
  • steamcommunity.com/profiles/76561199644883218
  • steamcommunity.com/profiles/76561199655148275
  • steamcommunity.com/profiles/76561199658817715
  • steamcommunity.com/profiles/76561199662282318
  • steamcommunity.com/profiles/76561199667616374
  • steamcommunity.com/profiles/76561199673019888
  • steamcommunity.com/profiles/76561199677575543
  • steamcommunity.com/profiles/76561199679313551
  • steamcommunity.com/profiles/76561199679420718
  • steamcommunity.com/profiles/76561199679428640
  • steamcommunity.com/profiles/76561199679465755
  • steamcommunity.com/profiles/76561199679557456
  • steamcommunity.com/profiles/76561199679721239
  • steamcommunity.com/profiles/76561199679727473
  • steamcommunity.com/profiles/76561199679728573
  • steamcommunity.com/profiles/76561199680007272
  • steamcommunity.com/profiles/76561199680393027
  • steamcommunity.com/profiles/76561199680445160
  • steamcommunity.com/profiles/76561199680532548
  • steamcommunity.com/profiles/76561199686524322
  • steamcommunity.com/profiles/76561199689717899
  • steamcommunity.com/profiles/76561199695752269
  • steamcommunity.com/profiles/76561199698764354
  • steamcommunity.com/profiles/76561199699680841
  • steamcommunity.com/profiles/76561199707802586
  • steamcommunity.com/profiles/76561199724331900
  • steamcommunity.com/profiles/76561199730044335
  • steamcommunity.com/profiles/76561199735694209
  • steamcommunity.com/profiles/76561199743486170
  • steamcommunity.com/profiles/76561199747278259
  • steamcommunity.com/profiles/76561199751190313
  • steamcommunity.com/profiles/76561199761128941

MD5

  • 0e0e0c7639025c442bf0daaf4da6e5cf
  • 1d7bb48a7186c95b1bd8db69ef5f61f1
  • 3e0176cd089c9bf5b66a28d0789b524f
  • 46c056fbb82e52b398adf211cda41d13
  • 865072e23e8869c25bc724a7b075211f
  • b4d1c16d79bb3bcd54cac782667c090d
  • e8e3bda68ae03ea279e5030f8431f6e9

SHA1

  • 26954e9eda62642b4236ac3659a4a0e6049d9af4
  • 7a5e5111edacbf7d1351a2afadb13f7d40b91e56
  • 98a045934854530199929632fb79447a2fe9bb2c
  • b69214206103b4202e3711b23809f4090e43aba8
  • c6d418ff9e989a39f69add06532d26594e76533f
  • cbdac3df53463cb463892b690f96d1ed4959b976
  • f0734c6765831c631c195e769aae51ff580c4173

SHA256

  • 0bab3e3a28dddade18b5b0d53acfcdebd82a99050f5e5c12e38215b3eeaa41c1
  • 0f3cdee69b287fe6697ef8569426585f6b12bcb226b31d3684a0a3cf3cd57f25
  • 229c3895912d2d9ed72131b20380ccca556f9e158ceb20197640bf0aca5ce7c8
  • 463b9c2806e53906d7f7b5b0d48aa35aea1e3d64c3ae68db216dd9112703bf48
  • 90470216907e588d56931a65a7fa52e5f09909fa0e7de7409a554bc6abdb0846
  • db14e6c4df69cc692850b42d3c9cc324ec4c4ab32dd425d3f8119085ebd9e459
  • def7574a3b3fc98294e5be9b881cd137d14e44f5b6add55374cdef0bbd7cb3dc
Комментарии: 0
Похожие записи
0
16 часов
IOC

Целевая шпионская активность UAC-0226 в отношении центров инноваций, государственных и правоохранительных органов с использованием стилера GIFTEDCROOK

Spyware
CERT-UA, начиная с февраля 2025 года, отслеживается целевая активность, которая осуществляется с целью шпионажа в отношении центров развития инноваций в военной сфере, военных формирований, правоохранительных
0
16 часов
IOC

Vidar Stealer: Новая стратегия обмана

Spyware
Vidar Stealer - печально известная вредоносная программа для кражи информации - впервые появилась в 2018 году и с тех пор используется злоумышленниками для сбора конфиденциальных данных, таких как куки
0
2 дня
IOC

Кибершпионаж с использованием PowerShell-стилера WRECKSTEEL

Spyware
Национальный агентство по реагированию на компьютерные чрезвычайные события в Украине (CERT-UA) принимает меры по сбору и анализу данных о кибератаках с целью предоставления информации о киберугрозах.
0
7 дней
IOC

Salvador Stealer: Новое вредоносное ПО для Android, которое выманивает банковские реквизиты и OTP

Spyware
Вредоносная программа Salvador Stealer, обнаруженная и проанализированная командой any.run, скрывается под видом банковского приложения для Android и предназначена для кражи конфиденциальной информации пользователей.