Главная страница » IOC
0
2 месяца
IOC

Sliver Implant IOCs - Part 2

security

Компания Cyble Research & Intelligence Labs (CRIL) обнаружила кибератаку, нацеленную на организации в Германии.

Sliver Framework

Атака начинается с LNK-файла, содержащегося в архиве. При выполнении LNK-файла запускается cmd.exe, который копирует и запускает легитимный исполняемый файл wksprt.exe. Этот файл загружает вредоносную DLL, использующую DLL-проксирование и выполняющую вредоносный шелл-код в фоновом режиме. В результате шелл-код расшифровывается и выполняет конечную полезную нагрузку - имплант Sliver, известный фреймворк эмуляции Red Team/adversary с открытым исходным кодом. Sliver позволяет субъектам угроз устанавливать связь с зараженной системой и выполнять дальнейшие вредоносные операции.

Атака начинается с фишинговой электронной почты, из которой пользователь получает архивный файл с обманчивым LNK-файлом. После извлечения архива пользователь видит только LNK-файл, замаскированный под PDF, но на самом деле архив содержит и другие файлы. При выполнении LNK-файла запускается файл быстрого доступа и легитимный исполняемый файл, который выполняет боковую загрузку вредоносной DLL. Вредоносная DLL загружает и расшифровывает шелл-код из DAT-файла, который также содержится в архиве. Затем шелл-код выполняет имплант Sliver, который позволяет субъектам угроз установить связь со скомпрометированной системой и проводить дополнительные вредоносные операции.

Для обеспечения непрерывной работы на зараженной системе, легитимный исполняемый файл wksprt.exe копируется в определенную директорию, и боковая загрузка DLL выполняется из этой директории. Также создается файл-приманка под названием "00_Homeoffice-Vereinbarung-2025.pdf", чтобы маскировать незаконную деятельность. Для автоматического запуска вредоносной операции при запуске системы, файл быстрого доступа к wksprt.exe добавляется в папку "Пуск".

Атака использует различные методы, такие как DLL Sideloading, DLL Proxying и Sliver, чтобы обойти системы защиты и установить контроль над зараженной сетью. Она позволяет субъектам угроз проводить дополнительные манипуляции и атаки на компрометированной системе. К сожалению, неизвестно, кто стоит за этой кампанией и какие конкретные организации были целью атаки. Однако данное исследование может помочь в повышении осведомленности и защите от подобных кибератак.

Indicators of Compromise

SHA256

  • 83a70162ec391fde57a9943b5270c217d63d050aae94ae3efb75de45df5298be
  • 86f8a979bd887955f0491a0ed5e00de2f3fe53e6eb5856fb823115ce43b7c0ca
  • 9b613f6942c378a447c7b75874a8fff0ef7d7fd37785fdb81b45d4e4e2d9e63d
  • f778825b254682ab5746d7b547df848406bb6357a74e2966b39a5fa5eae006c2
Комментарии: 0
Похожие записи
0
13 дней
IOC

LightSpy расширяет список команд, включая платформы социальных сетей

security
Исследование обнаружило, что модульная система наблюдения LightSpy, известная с 2020 года, способна компрометировать различные платформы, включая мобильные устройства, Windows, macOS, Linux и маршрутизаторы.
0
27 дней
IOC

BTMOB RAT IOCs

remote access Trojan
BTMOB RAT – продвинутая вредоносная программа для Android, которая активно распространяется через фишинговые сайты и использует службу доступности для кражи учетных данных, удаленного управления устройствами и выполнения вредоносных действий.
0
1 месяц
IOC

Растущее влияние DeepSeek вызывает всплеск мошенничества и фишинговых атак

security
Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила несколько подозрительных сайтов, выдававших себя за DeepSeek. Были обнаружены сайты, связанные с криптофишинговыми схемами и мошенничеством с фальшивыми инвестициями.