Главная страница » IOC
0
22 дня
IOC

StaryDobry Trojan IOCs

remote access Trojan

31 декабря киберпреступники начали массовую атаку, используя падение бдительности пользователей и увеличение трафика на торрент-сайтах в праздничный сезон. Эта атака продолжалась месяц и затронула физических и юридических лиц, распространяя модуль криптомайнера XMRig. Атака распространялась по всему миру, включая Россию, Бразилию, Германию, Беларусь и Казахстан, через троянские версии популярных игр, загружаемых с торрент-сайтов.

Описание

При расследовании обнаружено, что атака началась с распространения модифицированных версий игр через популярные торрент-трекеры. Вирусные версии таких игр, как BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy, были созданы таким образом, чтобы запустить сложную цепочку заражения, в результате чего устанавливался модуль криптомайнера. Эти вредоносные релизы разработаны и загружены на трекеры в сентябре 2024 года.

Атака включала использование различных техник обхода защиты, что позволило ей избегать обнаружения. Изучение кода показало, что используется прокси-функция для расшифровки файлов с помощью шифрования AES и ключа cls-precompx.dll. Кроме того, вредоносная программа проверяет наличие отладочной среды и песочницы, и в случае обнаружения завершает свое выполнение. Затем программа регистрирует себя как обработчик команд в файле regsvr32.exe и пытается определить местоположение пользователя с помощью запросов к различным сайтам. Используя собранные данные, атакующие формируют уникальный идентификатор машины и используют его для создания имен файлов.

Атака продолжалась в течение месяца и вызвала серьезные проблемы для физических и юридических лиц, которые стали жертвами этого массового заражения. Для защиты от подобных угроз рекомендуется использовать антивирусные программы и быть бдительными при загрузке файлов с торрент-сайтов.

Indicators of Compromise

IPv4

  • 45.200.149.146
  • 45.200.149.148
  • 45.200.149.58

URLs

  • https://pinokino.fun
  • https://promouno.shop

MD5

  • 04b881d0a17b3a0b34cbdbf00ac19aa2
  • 15c0396687d4ff36657e0aa680d8ba42
  • 3c4d0a4dfd53e278b3683679e0656276
  • 461a0e74321706f5c99b0e92548a1986
  • 5cac1df1b9477e40992f4ee3cc2b06ed
  • 821d29d3140dfd67fc9d1858f685e2ac
Комментарии: 0
Похожие записи
0
21 час
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
5 дней
IOC

Трояны, замаскированные под ИИ: киберпреступники используют популярность DeepSeek

security
DeepSeek-R1 - мощная открытая модель большого языка (LLM) - завоевала популярность в качестве сервиса чат-ботов и стала мишенью для киберпреступников. Обнаружено несколько поддельных сайтов, имитирующих
0
6 дней
IOC

Как YouTubers заставляют распространять SilentCryptoMiner в качестве инструмента для обхода ограничений

security
В последнее время все большую популярность набирают программы, использующие технологию Windows Packet Divert для перехвата и изменения сетевого трафика в системах Windows.
0
12 дней
IOC

Использование web shell в атаке на правительственную инфраструктуру в Юго-Восточной Азии

security
Оболочка была использована для эксплуатации сервера SharePoint в правительственной инфраструктуре в Юго-Восточной Азии. Анализ телеметрии позволил установить, что атака была осуществлена через развертывание