Главная страница » IOC
0
7 месяцев
IOC

PEAKLIGHT Dropper IOCs

security

Аналитики из Mandiant обнаружили новый дроппер, работающий только с памятью, который поставляет загрузчик на базе PowerShell, названный ими PEAKLIGHT.

PEAKLIGHT

Злоумышленники используют ZIP-файлы, маскирующиеся под пиратские фильмы, чтобы обманом заставить жертв загрузить вредоносный контент. ZIP-файлы содержали файл Microsoft Shortcut File (LNK), который подключался к сети доставки контента (CDN), где размещался скрытый JavaScript-дроппер, работающий только с памятью. Дроппер выполнял сценарий-загрузчик PowerShell, названный компанией Mandiant PEAKLIGHT, для загрузки ряда полезных нагрузок, включая LUMMAC2, SHADOWLADDER и CRYPTBOT.

Бесфайловые вредоносные программы, также называемые вредоносными программами с памятью, представляют собой серьезную проблему для команд безопасности благодаря своей способности обходить традиционные методы обнаружения. В отличие от обычных вредоносных программ, безфайловые вредоносные программы не опираются на файлы, хранящиеся на жестком диске, что затрудняет их обнаружение с помощью сигнатурных антивирусов, «песочниц» и анализа на основе машинного обучения.
Этот тип вредоносного ПО часто работает внутри доверенных, легитимных программ, таких как PowerShell или инструменты сценариев Windows, используя их для выполнения вредоносных действий, не оставляя следов на диске. Используя доверие к этим приложениям, внесенным в белый список, безфайловые вредоносные программы могут перемещаться по сети, не вызывая подозрений и оставаясь незамеченными в течение длительного времени. Такое скрытное поведение делает его особенно коварным и эффективным, позволяя злоумышленникам сохранять устойчивость и выполнять свои задачи, обходя большинство средств защиты.

Indicators of Compromise

Domains

  • considerrycurrentyws.shop
  • deprivedrinkyfaiir.shop
  • detailbaconroollyws.shop
  • horsedwollfedrwos.shop
  • messtimetabledkolvk.shop
  • patternapplauderw.shop
  • relaxtionflouwerwi.shop
  • tropicalironexpressiw.shop
  • understanndtytonyguw.shop

URLs

  • http://62.133.61.56/Downloads/Full%20Video%20HD%20(1080p).lnk
  • http://gceight8vt.top/upload.php
  • https://brewdogebar.com/code.vue
  • https://fatodex.b-cdn.net/fatodex
  • https://fatodex.b-cdn.net/K1.zip
  • https://fatodex.b-cdn.net/K2.zip
  • https://forikabrof.click/flkhfaiouwrqkhfasdrhfsa.png
  • https://matodown.b-cdn.net/K1.zip
  • https://matodown.b-cdn.net/K2.zip
  • https://matodown.b-cdn.net/matodown
  • https://nextomax.b-cdn.net/L1.zip
  • https://nextomax.b-cdn.net/L2.zip
  • https://potexo.b-cdn.net/K1.zip
  • https://potexo.b-cdn.net/K2.zip
  • https://potexo.b-cdn.net/potexo

MD5

  • 059d94e8944eca4056e92d60f7044f14
  • 236c709bbcb92aa30b7e67705ef7f55a
  • 307f40ebc6d8a207455c96d34759f1f3
  • 43939986a671821203bf9b6ba52a51b4
  • 47eee41b822d953c47434377006e01fe
  • 58c4ba9385139785e9700898cb097538
  • 95361f5f264e58d6ca4538e7b436ab67
  • a6c4d2072961e9a8c98712c46be588f8
  • b15bac961f62448c872e1dc6d3931016
  • b6b8164feca728db02e6b636162a2960
  • b716a1d24c05c6adee11ca7388b728d3
  • bb9641e3035ae8c0ab6117ecc82b65a1
  • d6ea5dcdb2f88a65399f87809f43f83c
  • d7aff07e7cd20a5419f2411f6330f530
  • d8e21ac76b228ec144217d1e85df2693
  • dfdc331e575dae6660d6ed3c03d214bd
  • e7c43dc3ec4360374043b872f934ec9e
  • f98e0d9599d40ed032ff16de242987ca
Комментарии: 0
Похожие записи
1
19 дней
IOC

Вредоносная программа LummaC2 распространяется под видом кряка Total Commander

Spyware
Аналитический центр AhnLab Security (ASEC) обнаружил вредоносную программу LummaC2, которая распространяется под видом утилиты Total Commander. Вредоносная программа была найдена в кряк-версии Total Commander
0
2 месяца
IOC

LummaC2 Stealer IOCs - Part 6

Spyware
Аналитическая компания AhnLab Security (ASEC) представила отчет о новой вредоносной программе, известной как DarkGate. Эта программа распространяется с использованием функции вставки - Paste (CTRL+V).