Главная страница » IOC
0
8 месяцев
IOC

Lilith RAT IOCs

remote access Trojan

24 апреля 2024 года центр исследования и анализа угроз компании S2W TALON - обнаружил вредоносное ПО LNK, которое было замаскировано под список документов, связанных с жалобой на уклонение от уплаты налогов. Этот файл работает как загрузчик, распечатывает документ-обманку и загружает дополнительные файлы с сервера злоумышленников. Эти файлы включают скрипты AutoIt и исполняемый файл AutoIt3, которые в конечном итоге запускают вредоносную программу Lilith RAT.

Lilith RAT

Обнаруженное вредоносное ПО LNK имеет сходство с группой KONNI, которая атакует Северную Корею, в том, что оно использует команды PowerShell и скрипты AutoIt. Однако целью этого вредоносного ПО было действовать как загрузчик, в то время как вредоносное ПО группы KONNI выполняло функцию дроппера. Кроме того, отсутствовали типы вредоносных программ VBS и BAT, которые широко применяются группой KONNI. Исходя из этих различий, TALON разделил две группы атак.

TALON проводит наблюдение за группой атак, названной puNK, которая отслеживается в отдельности от других неопознанных групп угроз. Группа, ответственная за распространение вредоносного ПО, получила название puNK-003, а вредоносная программа LNK, используемая в качестве загрузчика, была названа CURKON.

CURKON загружает вредоносную программу Lilith RAT, которая работает как обратная оболочка, получая команды с сервера управления и передавая их на компьютер жертвы. Ключевые особенности этой программы включают ее реализацию в виде скрипта AutoIt и ее способность выполнения произвольных команд на системе жертвы.

Исходя из сходства между CURKON и вредоносным ПО AutoIt группы KONNI, можно сделать вывод, что угроза, использующая CURKON, связана с группой KONNI.

Детальный анализ показал, что CURKON выполняет набор команд PowerShell, выполняет легитимный документ-приманку, создает скрытую папку на диске C, копирует файл curl.exe в эту папку, загружает и исполняет дополнительные файлы с сервера злоумышленников, и, наконец, выполняет программу Lilith RAT. CURKON также использует персистентность, регистрируясь в планировщике задач и запускаясь каждую минуту.

Исследователи также обнаружили, что Lilith RAT была реализована как скрипт AutoIt, хотя она изначально была написана на C++. Программа имеет функциональность обратного шелла и может выполнить произвольные команды, полученные с сервера управления. Она также имеет возможность поддерживать постоянство на зараженной системе.

Обратившись к открытому исходному коду Lilith RAT, исследователи обнаружили, что функция remoteControl позволяет выполнить любой исполняемый файл, тогда как CURKON реализует только три исполняемых параметра для этой функции.

Исследователи считают, что группа, ответственная за распространение CURKON, связана с группой KONNI из-за сходства между обоими вредоносными программами.

Indicators of Compromise

IPv4 Port Combinations

  • 185.231.154.22:52720
  • 62.113.118.157:57860
  • 93.183.93.185:57860

URLs

  • http://mq734121.info/index.php
  • http://oryzanine.com/index.php
  • http://serviceset.net/upload.php
  • http://sibbss.com/upload.php
  • http://storkse.com/upload.php
  • http://ttzcloud.com/upload.php
  • https://bgfile.com/v2/read/get.php?vw=ln3&nv=xu6502
  • https://downwarding.com/v2/read/get.php?vw=ln3&nv=xu6502
  • https://file.drive002.com/read/get.php?cu=ln3&so=xu6502
  • https://radionaranjalstereo.com/wp-content/themes/ai-news/js/inc/get.php?ra=iew&zw=lk0100
  • https://werxtracts.com/wp-content/themes/stylish-fashion-shop/js/inc/get.php?ra=iew&zw=lk0100

MD5

  • 19dc387bffdc0a22f640bd38af320db4
  • 3334d2605c0df26536058f73a43cb074
  • 3c81dc763a4f003ba6e33cd5b63068cd
  • 4f865db4192afb5bbcdeb2e899ca97a4
  • 5613ba2032bc1528991b583e17bad59a
  • 6d6433c328f6cdce4a80efce3a29ea3e
  • 6f5e4b45ca0d8c1128d27a15421eea38
  • 7bb236041b91d4cd4fa129267cf109c3
  • 9d6c79c0b395cceb83662aa3f7ed0123
  • a0483db3725f8a50078daee7fd10f9bb
  • d357fc478765a22f403c699a812f29bd
  • d5809e5f848f228634aa45ffe4a5ece0

SHA256

  • 0329bb5b3a450b0a8f148a57e045bf6ed40eb49a62e026bd71b021a2efc40aed
  • 2189aa5be8a01bc29a314c3c3803c2b8131f49a84527c6b0a710b50df661575e
  • 5bcfb56c4c884e3657bbfeacca37853113d640b77dff9af519c08c4b64ca029d
  • 5ea09247ad85915a8d1066d1825061cc8348e14c4e060e1eba840d5e56ab3e4d
  • 778e46f8f3641a92d34da68dffc168fdc936841c5ad3d8b44da62a7b2dfe2ee1
  • 77d05cc623f860ca2e6d47cdafc517aa0612de88291de7f2a3d95c5d04f1658a
  • 7c08b9178c05ab765a3d7754ac99f4ba1abddb226dbb6cc898bc692bba1898a1
  • 808425bc599cd60989c90978d179af1d4c72dd7abfe5e0518aca44b48af15725
  • 9e1a3653029b5378736ea1debba44cd81988de73b6d8689f9eba792e719da79a
  • ba59f1ece68fa051400fd46467b0dc0a5294b8644c107646e75d225a45fff015
  • c2cc785857c64fa1f8fbb2e359a2638f187cd77cd29ca6701e38d750e822faa4
  • e63082cf4db94f06d583a6313e48353366b44ce07b7ffceacc5bc4db88bd8810
Комментарии: 0
Похожие записи
0
2 дня
IOC

Цепочка атак, позволяющая избежать обнаружения и усложнить анализ

security
В декабре 2024 года специалисты обнаружили сложную цепочку атак, которая использовала несколько уровней для доставки вредоносного программного обеспечения, такого как Agent Tesla, Remcos RAT или XLoader.
0
3 дня
IOC

Remcos RAT IOCs - Part 27

remote access Trojan
Remcos - это вредоносная программа типа RAT, которую злоумышленники используют для удаленного выполнения действий на зараженных машинах. Эта вредоносная программа чрезвычайно активно обновляется: обновления выходят практически каждый месяц.
0
4 дня
IOC

Новые TTP и кластеры APT, атакующие с использованием нескольких платформ

security
Команда Seqrite Labs сообщает о новых тактиках, применяемых группировкой SideCopy APT, связанной с Пакистаном. Группа расширила свою сферу деятельности, теперь включая организации, входящие в состав министерств