Главная страница » IOC
0
10 месяцев
IOC

Распространение вредоносных программ под видом взломанных версий MS Office (XMRig, OrcusRAT и др.)

security

В корейских системах были зарегистрированы случаи распространения вредоносного программного обеспечения (ВПО) под видом взломанных версий программ, таких как Hangul Word Processor и инструменты активации для Windows или Microsoft Office.

Злоумышленники добавляют еще один уровень регистрации в зараженных системах, чтобы устанавливать новые штаммы ВПО. Некоторые системы, неснабженные V3, страдают от непрерывной установки ВПО, так как не способны исправить планировщик задач, несмотря на удаление зловреда. Это уязвимость позволяет злоумышленникам использовать зараженные системы в качестве прокси-серверов или для майнинга криптовалюты. Вредоносное ПО скрывается под видом взломанных программ и загрузок, обфусцируется и распространяется через файлообменные сервисы и торренты. Загруженные данные зашифрованы в Base64 и содержат команды PowerShell, которые устанавливают различные штаммы ВПО. Анализ показал, что вредоносное ПО включает в себя программу Updater, которая регистрируется в планировщике задач и обновляет саму себя, а также устанавливает дополнительные вредоносные программы, такие как Orcus RAT и XMRig. Orcus RAT предоставляет удаленное управление системой и функции утечки информации, включая кейлоггеры и доступ к веб-камере.

Indicators of Compromise

Domain Port Combinations

  • minecraftrpgserver.com:27036
  • minecraftrpgserver.com:27037
  • minecraftrpgserver.com:80

URLs

  • https://drive.usercontent.google.com/download?id=1kFPqJkzWKIIQzC3b0b6nunctXKHPeJNi&export=download
  • https://drive.usercontent.google.com/download?id=1SFoSCa4PhCsR7ACj8HUIfrU7L1i8YwiR&export=download
  • https://gist.github.com/thamanarya/6510d9e6b96adfea6b9422a3fd22ef82/raw/Power
  • https://mastodon.social/@dRidulEDhRQYNREkN
  • https://t.me/dRidulEDhRQYNREkN
  • https://t.me/IXvMGsiyPuHoPSSiD

MD5

  • 08299a45472f501644b4daa458336428
  • 151cd4702bc15421c24fd5930f119a48
  • 1b5393ac3eceda9b16836039f7d04c5e
  • 27623130a8e8b792fc99cbdcecee3177
  • 3a4d761de4fac0c2e47a5c84fca78c0f
  • 5dd8cdd4e80185b60d43511987b254cd
  • 6a648b7d0e4ae16f6beb170decd5b0b6
  • 77a5bd4e03fc9a653b4e8c33996d19a0
  • 93899d3008af9df6b7d261445b3e8f59
  • abdbfe7b8f4976935b87a0a0e67d1da0
  • c9cdc0c746fa9095bd87b455f8f9c3c8
  • d00feba624fa6fdcbad1b1219f3f2da7
  • f836a133490929ea0185d50e10bd11c0
Комментарии: 0
Похожие записи
0
8 часов
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.
1
7 дней
IOC

PJobRAT снова атакует чат-приложения

remote access Trojan
RAT-троян PJobRAT, предназначенный для андроид-устройств, был впервые обнаружен в 2019 году и нацелен на индийских военнослужащих. Недавно исследователи Sophos X-Ops обнаружили новую кампанию, нацеленную на пользователей из Тайваня.