Главная страница » Индикаторы компрометации
0
1 минута
Индикаторы компрометации

Новый вариант вредоносного ПО KimJongRAT: угроза для данных пользователей через PE-файлы и PowerShell

remote access Trojan

Злоумышленники активно развивают вредоносное ПО KimJongRAT, представляющее собой стейлер данных, и внедряют новые способы его распространения. В последнее время обнаружены две новые версии этого вредоноса: одна использует Portable Executable (PE-файлы), а другая - PowerShell-скрипты. Обе версии запускаются через LNK-файлы, которые загружают вредоносные компоненты с CDN-серверов, контролируемых злоумышленниками.

Описание

PE-версия KimJongRAT загружает HTA-файл, который, в свою очередь, распространяет три файла: загрузчик (sys.dll), фальшивый PDF (sexoffender.pdf) и текстовый файл (user.txt). Загрузчик затем скачивает дополнительные вредоносные модули, включая основной стейлер (net64.log) и оркестратор (main64.log), которые собирают данные пользователя, включая информацию из браузеров, FTP-клиентов и почтовых программ. Вся украденная информация отправляется на сервер злоумышленников.

PowerShell-версия работает схожим образом, но вместо PE-файлов использует скрипты. После запуска LNK-файла загружается HTA-дроппер, который распространяет ZIP-архив с PowerShell-стеалером и кейлоггером. Этот вариант фокусируется на краже данных из браузеров, включая пароли, куки и информацию о криптокошельках.

Обе версии маскируют свою активность, используя легитимные CDN-сервисы, что усложняет их обнаружение.

Индикаторы компрометации

URLs

  • 131.153.13.235/service/
  • 131.153.13.235/sp/
  • cdn.glitch.global/17443dac-272c-421c-80ac-53a3695ede0e/
  • cdn.glitch.global/2eefa6a0-44ff-4979-9a9c-689be652996d/
  • cdn.glitch.global/4ab4f138-6f66-4b39-a7dc-9d4843dcf34f/
  • cdn.glitch.global/59e3786e-8284-4f16-8844-134b12e58b6f/
  • cdn.glitch.global/c97fe797-45c1-473b-a2f8-3c0c8bb431af/
  • secservice.ddns.net/service2/
  • srvdown.ddns.net/service3/

SHA256

  • 02783530bbd8416ebc82ab1eb5bbe81d5d87731d24c6ff6a8e12139a5fe33cee
  • 28f2fcece68822c38e72310c911ef007f8bd8fd711f2080844f666b7f371e9e1
  • 2ba3397cba28af1a929403910035b78bf946acbafe9e186ac329b55086fe7703
  • 3b0a3bd5b790e5f130e7819550613b7e0194a3475f553285a1b7dc18ecca9d02
  • 3c2ea04090ad8c28116c42a9a2be5b240f135ac184e5a2c121b4eb311a7bf075
  • 3c6476411d214d40d0cc43241f63e933f5a77991939de158df40d84d04b7aa78
  • 45980cc8afb4e1b3738130d0855bb608530eef6731c5116fd053ac6e04159725
  • 4b87b775cdb265ecd872a71be810d7816d0d8b54663b3c536862db098874f288
  • 4e45009f5b582ca404b197d28805e363a537856b55e39c5c806fcf05acd928ff
  • 5097553dff2a2da4f16b80a346fe543422b22d262e0c40e187b345afbcc7d41a
  • 5a18a29791cfb18767a43bebb61f923e64be7988235213678514007174f60b3e
  • 6347d70b73e1cabadf8af8602b22a8220ed5b7298dbc15f16eb7dd493d6c6a78
  • 7a37e2d6dc941386d1f300bac48056030f37c950bcd441d83eca708d2beab939
  • 7a9f4ca13aed4d6d8ba430bc2b2f5ac2e4f9c7b5de2f5d2ba5aada211059da73
  • 85be5cc01f0e0127a26dceba76571a94335d00d490e5391ccef72e115c3301b3
  • 8a000aa43c17250dd02f842bc2ab37e47dd8d68da0d59753943df8b37004b701
  • 8b0b62a31b348c5a2337ee69cfd3f68a427466539484f55f1cd2910237b59700
  • 945e4f78196ef3a5548996a8d09e4220b779a2e78d40a86d64f233f7908550e6
  • 96df4f9cb5d9cacd6e3b947c61af9b8317194b1285936ce103f155e082290381
  • 97d1bd607b4dc00c356dd873cd4ac309e98f2bb17ae9a6791fc0a88bc056195a
  • 9bfbf7618a2c5270d552f4deb69b56082cc7723433a1517678863363cb800161
  • 9c9136fc8a279ce395997dd42c075e265c6daec14b13bbe4237a4178769d270e
  • 9e4e45e8f12db94997767bd3899968b9bc147bf08c062d3caea7f0864a67ea2c
  • a66c25b1f0dea6e06a4c9f8c5f6ebba0f6c21bd3b9cc326a56702db30418f189
  • accf50d769408253bf9a7da378228debce7c8f6d60fb76da48196fe42cacedf3
  • b103190c647ddd7d16766ee5af19e265f0e15d57e91a07b2a866f5b18178581c
  • b7dad38a099947612fcc42c50f4ba1708af969a3222b3345bdff35323a41974d
  • b90b2d992b41d146e70b775e2bc0430b9f7fb0ed0cd285c59daea92c2fc6af0b
  • bcdc99e0f17486aa5a5faa0b9e7d7ccbeaa5372626733433214bb722ba260234
  • bdb272189a7cdcf166fce130d58b794b242c582032f19369166b3d4cfdc0902c
  • be080777332ad1186fb8547a6a354b2beba62f2a24537eb7b79e849f084a95be
  • c356cd9fea07353a0ee4dfd4652bf79111b70790e7ed63df6b31d7ec2f5953d5
  • d7a61ab1b1eadd3b34386ec2a96324195ec25cd71fe4e5d9a8f993a6bd52eb92
  • d92b858d691c84b4e3752fdd46b5673fbd6b5af101a7111c1d8756c90271b732
  • eb68ed54e543c18070e5cc93a27db4a508d79016c09e28a47260ca080110328f
  • ef0ce406fa722d30bfa094c660e81ed4a72ff8c75a629081293f4a86e0e587c2
  • f4d9547269e0cd7a0df97e394f688e0eb00b31965abd5e6ad67d373a7dc58f3b
  • f73164bd4d2a475f79fb7d0806cfc3ddb510015f9161e7dce537d90956c11393
Комментарии: 0
Похожие записи
0
4 дня
Индикаторы компрометации

Крупная кампания JSFireTruck: злоумышленники используют JSF*ck для скрытого перенаправления пользователей на вредоносные сайты

information security
Palo Alto Networks обнаружила масштабную кампанию, в рамках которой злоумышленники внедряют обфусцированный JavaScript-код на легитимные веб-сайты. Целью атаки является скрытое перенаправление пользователей
0
6 дней
Индикаторы компрометации

Мошенники создали фальшивый сайт WWDC25 с раздачей криптовалюты

information security
В сети обнаружен мошеннический сайт wwdc25[.]com, зарегистрированный 7 июня 2025 года, который выдает себя за официальное мероприятие WWDC25 - ежегодную конференцию разработчиков Apple.
0
7 дней
Индикаторы компрометации

Иранская хакерская группа использует генеративный ИИ для создания вредоносных PDF-документов

APT
Исследователи из Palo Alto обнаружили, что иранская хакерская группировка Agent Serpens, также известная как Charming Kitten, вероятно, использует генеративный искусственный интеллект для создания поддельных PDF-документов.