Незаметные вредоносные .NET программы: скрытие вредоносной полезной нагрузки в виде растровых ресурсов

security

Компания Palo Alto заметила несколько волн вредоносного спама с использованием вложений в электронных письмах в конце 2024 - начале 2025 года. Одна из волн была направлена на финансовые организации в Турции, а другая на логистический сектор в Азии.

Описание

Злоумышленники использовали растровые ресурсы для проведения атак на целевые отрасли и регионы. Вредоносные программы были скрыты под легитимные файлы .exe, связанные с закупками, организациями и датами финансовых операций.

Техники обфускации в .NET включают переименование классов, замену опкодов и шифрование строк для затруднения статического анализа и обратного инжиниринга. Злоумышленники используют комбинацию этих методов для защиты вредоносных приложений. Технический анализ показал процесс извлечения вредоносной полезной нагрузки из растровых ресурсов и деобфускацию кода для загрузки вредоносных программ.

Подробный анализ конкретного образца вредоносного ПО показал использование различных методов для обфускации и загрузки ресурсов. Класс MainForm в .NET-коде имел специфичные названия методов, соответствующие тематике, таким как морские исследования. Процесс распаковки растровых ресурсов в сборки и деобфускация кода представлен на диаграммах, показывая структуру и работу вредоносных приложений.

Злоумышленники используют сложные методы обфускации и шифрования для защиты своих вредоносных приложений и обмана аналитиков. Изучение технических методов позволяет более эффективно бороться с такими киберугрозами и обнаруживать вредоносные атаки заранее.

Индикаторы компрометации

IPv4 Port Combinations

  • 103.198.26.222:9373
  • 176.65.144.154:3077
  • 67.203.7.163:3320

Domain Port Combinations

  • hosting2.ro.hostsailor.com:587
  • mail.gtpv.online:587
  • myhost001.myddns.me:9373
  • nffplp.com:587

URLs

  • http://www.sixfiguredigital.group/aoc3/
  • http://www.yperlize.net/aa02/

Emails

SHA256

  • 30b7c09af884dfb7e34aa7401431cdabe6ff34983a59bec4c14915438d68d5b0
  • 3b83739da46e20faebecf01337ee9ff4d8f81d61ecbb7e8c9d9e792bb3922b76
  • 511af3c08bd8c093029bf2926b0a1e6c8263ceba3885e3fec9b59b28cd79075d
  • 5487845b06180dfb329757254400cb8663bf92f1eca36c5474e9ce3370cadbde
  • 5adff9ae840c6c245c0a194088a785d78d91fe734ee46a7d51605c1f64f6dadd
  • 604cbcfa7ac46104a801a8efb7e8d50fa674964811ec7652f8d9dec123f8be1f
  • 8146be4a98f762dce23f83619f1951e374708d17573f024f895c8bf8c68c0a75
  • 98195a4d27e46066b4bc5b9baea42e1e5ef04d05734c556d07e27f45cb324e80
  • 9ed929b60187ca4b514eb6ee8e60b4a0ac11c6d24c0b2945f70da7077b2e8c4b
  • a4a6364d2a8ade431974b85de44906fe8abfed77ab74cc72e05e788b15c7a0cf
  • ac5fc65ae9500c1107cdd72ae9c271ba9981d22c4d0c632d388b0d8a3acb68f4
Комментарии: 0