Главная страница » IOC
0
7 месяцев
IOC

Loki Backdoor IOCs

security

В июле 2024 года лаборатория Kaspersky обнаружила новый бэкдор, названный Loki, который использовался в серии целевых атак. После анализа вредоносного файла и открытых источников было выяснено, что Loki - это закрытая версия агента для фреймворка Mythic с открытым исходным кодом. Loki отличается от других вредоносных программ с именем Loki, таких как Loki Bot и Loki Locker.

Loki backdoor

Mythic Framework был создан в 2018 году разработчиком Коди Томасом как фреймворк с открытым исходным кодом для взлома систем macOS. В течение двух лет к проекту присоединились дополнительные разработчики, и фреймворк был переименован в Mythic. Он отличается от других фреймворков тем, что позволяет использовать агентов на любом языке и для любой платформы.

Обнаруженный агент Loki является совместимой с Mythic версией агента для фреймворка Havoc. Он использует различные техники для усложнения анализа, такие как шифрование памяти и косвенные вызовы системных API-функций. Алгоритм хэширования djb2 используется для скрытия API-функций и команд.

Загрузчик Loki формирует пакет с информацией о зараженной системе и отправляет его на командно-контрольный сервер. Загрузчик также получает от сервера DLL, которую загружает в память устройства. Две версии загрузчика Loki были наблюдаемы в мае и июле. Обе версии используют алгоритмы шифрования данных и обрабатывают информацию о системе, но имеют некоторые отличия.

Было замечено, что майская версия загрузчика Loki использует протокол protobuf для сериализации данных, в то время как июльская версия имитирует поведение агента Ceos. Обе версии шифруют данные с использованием AES и кодируют их в base64, но старая версия отправляет UUID в открытом виде, а новая кодирует его в base64. Каждая версия вредоносной программы имеет уникальный UUID.

В результате первого запроса к командно-контрольному серверу, сервер возвращает DLL с функциями стандартной точки входа и функцией. В общем, Loki представляет серьезную угрозу, и его обнаружение является важным для защиты от атак.

Indicators of Compromise

URLs

  • http://document.info-cloud.ru/data
  • http://ui.telecomz.ru/data
  • http://y.nsitelecom.ru/certcenter

MD5

  • 05119e5ffceb21e3b447df49b52ab608
  • 0632799171501fbeeba57f079ea22735
  • 1178e7ff9d4adfe48064c507a299a628
  • 375cfe475725caa89edf6d40acd7be70
  • 46505707991e856049215a09bf403701
  • 4afad607f9422da6871d7d931fe63402
  • 5ec03e03b908bf76c0bae7ec96a2ba83
  • 724c8e3fc74dde15ccd6441db460c4e4
  • 796bdba64736a0bd6d2aafe773acba52
  • 7f85e956fc69e6f76f72eeaf98aca731
  • 834f7e48aa21c18c0f6e5285af55b607
  • 97357d0f1bf2e4f7777528d78ffeb46e
  • dd8445e9b7daced487243ecba2a5d7a8
  • dff5fa75d190dde0f1bd22651f8d884d
  • e8b110b51f45f2d64af6619379aeef62
  • eb7886ddc6d28d174636622648d8e9e0
  • f0b6e7c0f0829134fe73875fadf3942f
  • f2132a3e82c2069eb5d949e2f1f50c94
Комментарии: 0
Похожие записи
0
4 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
9 дней
IOC

Latrodectus Backdoor IOCs - Part 15

security
Unidentified 111 (он же: Latrodectus, BLACKWIDOW, Latrodectus, Lotus) - впервые обнаруженный в октябре 2023 года BLACKWIDOW представляет собой бэкдор, написанный на языке C, который взаимодействует по
0
9 дней
IOC

TookPS распространяется под видом UltraViewer, AutoCAD и Ableton.

security
Исследование, проведенное в начале марта Kaspersky Lab, описывает несколько вредоносных кампаний, использующих систему DeepSeek LLM в качестве приманки, и раскрывает новые аспекты вредоносной программы TookPS.