Главная страница » IOC
0
2 года
IOC

Remcos RAT IOCs - Part 9

remote access Trojan

Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил случай установки Remcos RAT на плохо управляемые серверы MS-SQL.

Remcos RAT

В отличие от прошлой атаки, в недавнем случае для распространения вредоносного ПО угрожающий субъект использовал sqlps. Sqlps - это SQL Server PowerShell, который входит в процедуру установки SQL Server.

SQL Server Powershell позволяет пользователям использовать команды Powershell, необходимые для управления экземплярами SQL Server. Злоумышленник использовал эту особенность при распространении вредоносного ПО.

Объект угрозы взламывает плохо управляемые серверы MS-SQL и использует команду sqlps для загрузки вредоносного ПО в каталог %temp% перед его выполнением. Установленное вредоносное ПО представляет собой файл, записанный с помощью QSetup Installation Suite. QSetup Installation Suite - это программа-установщик, которая может использоваться в операционных системах Windows. При запуске вредоносной программы в каталоге temp создаются следующие файлы и выполняется файл Dust.

Файл Dust, созданный в каталоге temp, является обфусцированным файлом сценария VBS и выполняет команду, показанную на рисунке 4. Он создает папку со случайным именем и объединяет файлы в каталоге temp для создания программы установки. Созданная программа установки является обычным исполняемым файлом AutoIt.

Файл Lone, сгенерированный во временном пути, является обфусцированным файлом сценария AutoIt. Lone выполняется через сгенерированный обычный исполняемый файл AutoIt, который затем расшифровывает Remcos RAT, чтобы внедрить и запустить его. Запущенный Remcos RAT пытается подключиться к 80.66.75.51[:]2290, чтобы получить возможности удаленного управления файлами и задачами процессов в зараженной системе.

Типичные атаки, направленные на серверы MS-SQL, включают атаки методом перебора и атаки по словарю на системы, где учетные данные плохо управляются. Администраторы должны использовать пароли, которые невозможно легко угадать, и периодически менять их, чтобы защитить серверы баз данных от атак методом перебора и по словарю.

Indicators of Compromise

IPv4 Port Combinations

  • 80.66.75.51:2290

URLs

  • http://201.93.255.219/DZVcjxP.exe
  • http://201.93.255.219:3823/DZVcjxP.exe

MD5

  • 2677b8022e9fd3c18334dd672e16f457
  • 55233743d7c15b0a417233becc07dcb4
  • a6b930401417a341092dbfd48399c92b
Комментарии: 0
Похожие записи
0
1 день
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
2 дня
IOC

NEPTUNE RAT: продвинутая Windows RAT с возможностью разрушения системы и извлечения паролей из 270+ приложений

remote access Trojan
Neptune RAT использует передовые методы антианализа и персистентные методы для сохранения своего присутствия в системе жертвы в течение длительного времени и оснащен такими опасными функциями, как криптокопилка
0
7 дней
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.