Главная страница » IOC
0
6 часов
IOC

Konni RAT: скрытность, стойкость и методы антианализа

remote access Trojan

Konni RAT - это высоконаправленный штамм вредоносного ПО, известный своими передовыми возможностями в области шпионажа и утечки данных.

Описание

Konni RAT использует многоступенчатый процесс атаки с использованием различных файлов и сценариев, а также сложные тактики, такие как обфускация путей и генерация зашифрованных URL-адресов. Вредоносная программа передает конфиденциальные данные на удаленный сервер и эффективно уклоняется от обнаружения и анализа.

Основные выводы отчета указывают на то, что Konni RAT использует разнообразные методы уклонения от обнаружения, включая скрытие расширений файлов, динамическую генерацию URL-адресов и модификацию реестра. При выполнении атаки вредоносная программа маскируется под безобидные файлы и удаляет следы своей деятельности. Она также собирает конфиденциальные данные о системе и пользователях, с целью передать их на удаленный сервер.

Cyfirma также приводит атрибуцию Konni RAT к северокорейской группе кибершпионажа APT37. Вредоносная программа впервые была обнаружена в 2014 году и применялась в кампаниях против различных организаций по всему миру. В последние годы Konni RAT продемонстрировал эволюцию тактик, включая использование вредоносных документов Word и внедрение в программное обеспечение.

CYFIRMA Research выделяет растущую сложность и адаптивность Konni RAT, а также его способность уклоняться от обнаружения и обходить усиленные меры безопасности. Компания отмечает постоянное развитие операций злоумышленника, что указывает на то, что Konni RAT продолжает развиваться и приобретать новые способности.

Индикаторы компрометации

Содержание
  1. Domains
  2. URLs
  3. SHA256

Domains

  • acschoolcatering.com
  • roofcolor.com

URLs

  • http://www.roofcolor.com/wp-includes/js/src/list.php?[динамическая-переменная]
  • http://www.roofcolor.com/wp-includes/js/src/upload.php
  • https://www.acschoolcatering.com/libraries/src/inc/get.php?[динамическая-переменная]

SHA256

  • 474978a976de1c869385d37ae422b1718918bc8cc05353a4bebb2b75846ab74c
  • 4c53e24db4b7858fd9d17de2bfc3d73096f41172dfcc31a807231acb97aff9d0
  • 61ce43ea1c2ddafb23ee8ee083417fd375bbefce200f9bb48166af7c67df4d3c
  • 76ee4da0af1921b820cc0913b4011bb5382edac958eb2592ee1c3a00a41c2041
  • a19b9eb292395e0d84c4a1a8eb5c88abbe0f71060cd06a436bf79da914e3e0c1
  • a8b0f9717bc16d48e55be95886500179ca4b7dad9610dd0865dbf8849901a791
  • b81513f0f8d3db382bb8f931bf2b7a0d4f26f74cfcf60b5d889de87ef2f1d543
  • c348e945e1f6123bd054277d16a39da715deed8f5a6849bc70a57913b877e2ba
  • e3c3981f65663c9923da9ca28c20951543ae3796bd39f86964769490b01c2bd7
  • ee8e8471fbe1b7fc85508e549444893bdea7579c5032c2626abcb1356129787e
  • f1b4eb84e77e39803a0463b49b66600adb19347512354d0481568a8411b75b24
Комментарии: 0
Похожие записи
0
6 часов
IOC

Российские организации под прицелом: фишинговые письма с вредоносным ПО DarkWatchman RAT

security
Компания Solar 4RAYS, центр исследования киберугроз, выявила новую волну фишинговых атак в России с использованием вредоносной программы DarkWatchman RAT. Атаки, начавшиеся в середине февраля, продолжаются в течение марта.
0
8 дней
IOC

Цепочка атак, позволяющая избежать обнаружения и усложнить анализ

security
В декабре 2024 года специалисты обнаружили сложную цепочку атак, которая использовала несколько уровней для доставки вредоносного программного обеспечения, такого как Agent Tesla, Remcos RAT или XLoader.
0
9 дней
IOC

Remcos RAT IOCs - Part 27

remote access Trojan
Remcos - это вредоносная программа типа RAT, которую злоумышленники используют для удаленного выполнения действий на зараженных машинах. Эта вредоносная программа чрезвычайно активно обновляется: обновления выходят практически каждый месяц.