Главная страница » IOC
0
1 год
IOC

Krasue Trojan IOCs

remote access Trojan

Krasue - это троян для удаленного доступа к Linux, который действует с 2021 года и преимущественно нацелен на организации в Таиланде.

  • Group-IB может подтвердить, что жертвами Krasue стали телекоммуникационные компании.
  • Вредоносная программа содержит несколько встроенных руткитов для поддержки различных версий ядра Linux.
  • Руткит Krasue, как и многие другие руткиты для Linux, взят из открытых источников (3 руткита Linux Kernel Module с открытым исходным кодом).
  • Руткит может подключать системный вызов kill(), функции, связанные с сетью, и операции листинга файлов, чтобы скрыть свою деятельность и избежать обнаружения.
  • Примечательно, что Krasue использует сообщения RTSP (Real-Time Streaming Protocol) в качестве замаскированного "живого пинга" - тактика, редко встречающаяся в природе.
  • Исследователи Group-IB предполагают, что эта вредоносная программа для Linux развертывается на поздних этапах цепочки атак, чтобы сохранить доступ к хосту жертвы.
  • Скорее всего, Krasue либо развертывается как часть ботнета, либо продается брокерами первоначального доступа другим киберпреступникам.
  • Исследователи Group-IB полагают, что Krasue был создан тем же автором, что и Linux-троян XorDdos, о котором Microsoft сообщила в блоге в марте 2022 года, или тем, кто имел доступ к исходному коду последнего.
  • На этапе инициализации руткит скрывает свое присутствие. Затем он подключает системный вызов kill(), связанные с сетью функции и операции листинга файлов, тем самым скрывая свою деятельность и уклоняясь от обнаружения.

Indicators of Compromise

IPv4 Port Combinations

  • 128.199.226.11:554

SHA256

  • 38ba7790697da0a736c80fd9a04731b8b0bac675cca065cfd42a56dde644e353
  • 3e37c7b65c1e46b2eb132f98f65c711b4169c6caeeaecc799abbda122c0c4a59
  • 4428d7bd7ae613ff68d3b1b8e80d564e2f69208695f7ab6e5fdb6946cc46b5e1
  • 8a58dce7b57411441ac1fbff3062f5eb43a432304b2ba34ead60e9dd4dc94831
  • 902013bc59be545fb70407e8883717453fb423a7a7209e119f112ff6771e44cc
  • 97f08424b14594a5a39d214bb97823690f1086c78fd877558761afe0a032b772
  • afbc79dfc4c7c4fd9b71b5fea23ef12adf0b84b1af22a993ecf91f3d829967a4
  • b6db6702ca85bc80599d7f1d8b1a9b6dd56a8e87c55fc831dc9c689e54b8205d
  • c9552ba602d204571b9f98bd16f60b6f4534b3ad32b4fc8b3b4ab79f2bf371e5
  • e0748b32d0569dfafef6a8ffd3259edc6785902e73434e4b914e68fea86e6632
  • ed38a61a6b7af436120465d352baa4cdf4ed8f01a7db7245b6254353e52f818f
Комментарии: 0
Похожие записи
0
1 день
IOC

Mamont Trojan IOCs - Part 2

remote access Trojan
Недавно СМИ сообщили об аресте подозреваемых в распространении вредоносного приложения для Android, известного как Mamont. Это приложение использовалось в фишинговой кампании, в ходе которой пользователи
0
12 дней
IOC

Crocodilus: Новое вредоносное ПО для захвата устройств, нацеленное на Android-устройства

Banking Trojan
Crocodilus - это новый и высокоэффективный мобильный банковский троян, который обнаружен компанией ThreatFabric. В отличие от других существующих троянов, Crocodilus обладает современными методами, включая
0
2 месяца
IOC

StaryDobry Trojan IOCs

remote access Trojan
31 декабря киберпреступники начали массовую атаку, используя падение бдительности пользователей и увеличение трафика на торрент-сайтах в праздничный сезон. Эта атака продолжалась месяц и затронула физических