Главная страница » IOC
0
6 месяцев
IOC

Horus FUD IOCs

security

Команда исследования угроз SonicWall Capture Labs обнаружила новый криптер Horus FUD, который используется для распространения вредоносных программ, таких как AgentTesla, Remcos, Snake, NjRat и другие. Заражение происходит через скрипты, содержащиеся в архивных файлах. В последнее время использовались скрипты VBE, которые представляют собой закодированные VBS-скрипты. После выполнения VBE-скрипт загружает данные с CnC-сервера, сохраняя их в реестре. Затем формируется реестр, в котором хранится основная полезная нагрузка в шестнадцатеричном формате.

Horus FUD

После этого создается новый VBS-скрипт, который выполняет данные, загруженные с URL-адреса. Далее проверяется наличие антивирусного ПО, и в зависимости от наличия активированного Windows Defender выполнение происходит через планировщик задач или непосредственно. Затем проверяется запущенный процесс с подлинным именем, указанным в реестре, и в случае его отсутствия запускается PowerShell, выполняющий команду из реестра. Затем происходит выполняется новая сборка, которая загружается и выполняется с помощью метода из DotNet dll. Вторым этапом является инжектор erezake.dll, который внедряет полезную нагрузку в целевой процесс MSBuild.exe. Основная полезная нагрузка хранится в реестре и извлекается для формирования PE-файла. Далее полезная нагрузка внедряется в целевой процесс с помощью техники инъекции в процесс image hollowing.

В целом, Horus FUD представляет серьезную угрозу, используемую для распространения различных вредоносных программ. Он использует скрипты VBE для загрузки и выполнения данных с CnC-серверов и обхода систем антивирусной защиты. Криптер также обладает умением инъецировать основную полезную нагрузку в целевые процессы, обеспечивая максимальное проникновение в систему. Эти функции делают Horus FUD опасным инструментом для кибератак и требуют усиления мер безопасности для защиты от него.

Indicators of Compromise

IPv4

  • 144.91.79.54

MD5

  • 405377b1469f31ff535a8b133360767d
  • 8acccb571108132e1bbe7c4c60613f59
  • c39a2e4fbcce649cb5ac409d4a2e1b1f
  • f0fe04a3509d812ade63145fd37a1cb2
  • fd4302cdfacbc18e723806fde074625b
Комментарии: 0
Похожие записи
0
5 месяцев
IOC

StealC Stealer IOCs - Part 4

Spyware
Команда SonicWall Capture Labs проанализировала вредоносный образец Stealc. Это вредоносная программа, предназначенная для кражи информации из системы жертвы. Она извлекает учетные данные из браузеров
0
6 месяцев
IOC

CoreWarrior Trojan IOCs

remote access Trojan
Команда исследования SonicWall Capture Labs изучила троян CoreWarrior, который является настойчивым и быстро распространяющимся вредоносным ПО.
0
6 месяцев
IOC

HORUS Protector: Новая служба распространения вредоносного ПО

security
Команда исследования угроз SonicWall обнаружила новый сервис распространения вредоносного ПО под названием Horus Protector. Этот сервис представляет собой криптер FUD и распространяет множество семейств