Главная страница » IOC
0
2 года
IOC

TOITOIN Trojan IOCs

remote access Trojan

Вредоносная кампания TOITOIN направлена на предприятия в регионе LATAM и использует сложные технологии и многоступенчатые цепочки заражения.

  • Используя инстансы Amazon EC2, злоумышленники уклоняются от обнаружения по доменам, что усложняет обнаружение и блокирование их деятельности.
  • В анализируемой кампании используется ряд модулей собственной разработки, в том числе:
  • Модуль загрузчика: Загружает последующие этапы, обходит "песочницы" путем перезагрузки системы и поддерживает постоянство с помощью LNK-файлов.
    Krita Loader DLL: загружается с помощью подписанных двоичных файлов и загружает модуль InjectorDLL.
    Модуль InjectorDLL: Инжектирует ElevateInjectorDLL в удаленный процесс (explorer.exe).
    Модуль ElevateInjectorDLL: Обходит "песочницы", выполняет вскрытие процессов и в зависимости от привилегий процесса внедряет троянца TOITOIN или модуль BypassUAC.
    Модуль BypassUAC: Использует моникер COM Elevation Moniker для обхода контроля учетных записей пользователей и запуска Krita Loader с правами администратора.
  • Последняя полезная нагрузка - троянец TOITOIN - использует пользовательские процедуры XOR-дешифрования для расшифровки конфигурационного файла, содержащего URL-адрес сервера Command & Control. Он передает на C&C-сервер закодированную системную информацию и сведения об установленных браузерах и модуле защиты Topaz OFD. В случае отсутствия конфигурационного файла информация передается через POST-запрос с использованием curl.
Содержание
  1. Indicators of Compromise
  2. Domains
  3. URLs
  4. MD5

Indicators of Compromise

Domains

  • arquivosclientes.online
  • atendimento-arquivos.com
  • fantasiacinematica.online

URLs

  • http://179.188.38.7
  • http://191.252.203.222/Up/indexW.php
  • http://afroblack.shop/CasaMoveis\ClienteD.php
  • http://alemaoautopecas.com
  • http://bragancasbrasil.com
  • http://cartolabrasil.com
  • http://contatosclientes.services
  • http://ec2-3-82-104-156.compute-1.amazonaws.com/storage.php?e=Desktop-PC
  • http://ec2-3-89-143-150.compute-1.amazonaws.com/storage.php?e=Desktop-PC

MD5

  • 2fa7c647c626901321f5decde4273633
  • 690bfd65c2738e7c1c42ca8050634166
  • 7871f9a0b4b9c413a8c7085983ec9a72
  • 8fc3c83b88a3c65a749b27f8439a8416
  • b7bc67f2ef833212f25ef58887d5035a
  • c35d55b8b0ddd01aa4796d1616c09a46
  • e6c7d8d5683f338ca5c40aad462263a6
Комментарии: 0
Похожие записи
0
1 день
IOC

Новая версия Triada распространяется, встроенная в прошивку Android-устройств

remote access Trojan
Исследователи Kaspersky Lab обнаружили новые версии вредоносного троянца Triada на предзагруженных Android-устройствах, что делает их уязвимыми еще до продажи. Фальшивые модели известных брендов были загружены на различные онлайн-маркеты.
0
8 дней
IOC

Новейший арсенал Mustang Panda: PAKLOG, CorKLOG и SplatCloak

security
В рамках своего исследования специалисты из Zscaler ThreatLabz обнаружили два новых кейлоггера, PAKLOG и CorKLOG, разработанных группой Mustang Panda, а также драйвер для уклонения от EDR, известный как SplatCloak.
0
18 дней
IOC

Mamont Trojan IOCs - Part 2

remote access Trojan
Недавно СМИ сообщили об аресте подозреваемых в распространении вредоносного приложения для Android, известного как Mamont. Это приложение использовалось в фишинговой кампании, в ходе которой пользователи