Главная страница » IOC
0
9 месяцев
IOC

Jellyfish Loader IOCs

security

Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили новый загрузчик шелл-кода под названием Jellyfish Loader, основанный на платформе .NET. Он собирает системную информацию и устанавливает безопасную связь с командно-контрольным сервером (C&C). При первом заражении Jellyfish Loader отправляет информацию о системе и затем получает шелл-код от сервера C&C для дальнейших вредоносных действий. Инфраструктура C&C, используемая Jellyfish Loader, ранее была использована в операции Olympic Destroyer в 2018 году.

Jellyfish Loader

Jellyfish Loader использует асинхронные методы компилятора C# для выполнения кода и встраивание зависимостей в исполняемый файл с помощью Fody и Costura. Загрузчик подключается к серверу C&C и загружает шелл-код для выполнения. Однако, в тестировании CRIL шелл-код не был успешно доставлен.

CRIL обнаружили, что Jellyfish Loader использует URL "hxxps://ping.connectivity-check[.]com" для соединения с сервером C&C. Этот домен был ранее использован в атаке Olympic Destroyer, которая была проведена в 2018 году и имела целью организаторов зимних Олимпийских игр.

CRIL также провел исследование файла-приманки, который был использован для распространения Jellyfish Loader. Файл-приманка был маскирован под PDF-файл и содержал изображение ключа, чтобы затруднить определение мотива и цели атаки.

Jellyfish Loader является 64-битным исполняемым файлом на базе .NET с версией приложения 0.3.2 и датой компиляции 2089-06-18. Метод Main в загрузчике является асинхронным и возвращает объект Task.

Indicators of Compromise

URLs

  • https://ping.connectivity-check.com/

MD5

  • 300b380bf870010f14bfeeeccbdc9729
  • ab9c3ef0b8bb1d68d819d569c8276af0
  • e577fa8e0491fe027bc4da86a01f64ea

SHA1

  • 00e0824e139e21fd6e41e2a34c1d6f598d7e4fbe
  • 9ff473df01487ca59d6426c8fddf77a1c27b2437
  • d4adb79a3809989569fb24aa43c947ef69b8aee1

SHA256

  • 66d24e2081fcfe3ffdcf80e208553f32b088c7e863668ab3813ba980e1efbc2c
  • 6d47ce1660eb54a31e7870b170605f9641ec97d756fb865f3a5e357649dc2041
  • e654e97efb6214bea46874a49e173a3f8b40ef30fd0179b1797d14bcc2c2aa6c
Комментарии: 0
Похожие записи
0
6 дней
IOC

Новый банковский троян TsarBot для Android, атакующий более 750 банковских, финансовых и криптовалютных приложений

Banking Trojan
Компания Cyble Research and Intelligence Labs (CRIL) обнаружила новый банковский троян для Android под названием TsarBot, который использует оверлейные атаки для атаки на более чем 750 банковских, финансовых
0
1 месяц
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает