Главная страница » IOC
0
1 год
IOC

VenomRAT Malware IOCs

remote access Trojan

Исследователям следует обратить внимание на то, что угрожающие организации используют старый код для быстрого создания поддельного PoC для новой уязвимости. 17 августа 2023 года организация Zero Day Initiative публично сообщила об уязвимости удаленного выполнения кода (RCE) в WinRAR, получившей обозначение CVE-2023-40477. Они сообщили о ней производителю 8 июня 2023 года. Через четыре дня после публичного сообщения о CVE-2023-40477 некий субъект, использующий псевдоним whalersplonk, разместил в своем репозитории GitHub поддельный PoC-скрипт.

VenomRAT Malware

Поддельный PoC-скрипт, предназначенный для эксплуатации этой уязвимости WinRAR, был основан на общедоступном PoC-скрипте, эксплуатирующем уязвимость SQL-инъекции в приложении GeoServer, которая отслеживается как CVE-2023-25157. Palo Alto проанализировали поддельный PoC-скрипт и все звенья цепочки заражения, которые в конечном итоге устанавливали полезную нагрузку VenomRAT.

Скорее всего, злоумышленники действуют по принципу оппортунизма и стремятся скомпрометировать других злоумышленников, пытающихся внедрить новые уязвимости в свои операции.

Исходя из хронологии событий, Palo Alto полагают, что злоумышленник создал инфраструктуру и полезную нагрузку независимо от поддельного PoC. Как только уязвимость была обнародована, злоумышленники начали действовать быстро, чтобы воспользоваться серьезностью RCE в популярном приложении. Компания WinRAR заявляет, что у нее более 500 млн. пользователей по всему миру.

Indicators of Compromise

IPv4

  • 94.156.253.109

Domains

  • checkblacklistwords.eu

URLs

  • http://checkblacklistwords.eu/c.txt
  • http://checkblacklistwords.eu/check-u/robot?963421355?Ihead=true
  • http://checkblacklistwords.eu/words.txt

SHA256

  • 7fc8d002b89fcfeb1c1e6b0ca710d7603e7152f693a14d8c0b7514d911d04234
  • b77e4af833185c72590d344fd8f555b95de97ae7ca5c6ff5109a2d204a0d2b8e
  • b99161d933f023795afd287915c50a92df244e5041715c3381733e30b666fd3b
  • c2a2678f6bb0ff5805f0c3d95514ac6eeaeacd8a4b62bcc32a716639f7e62cc4
  • ecf96e8a52d0b7a9ac33a37ac8b2779f4c52a3d7e0cf8da09d562ba0de6b30ff
Комментарии: 0
Похожие записи
0
11 часов
IOC

Фишинговая кампания выдает себя за Booking.com и поставляет набор вредоносных программ для кражи учетных данных

phishing
В декабре 2024 года была обнаружена фишинговая кампания, которая представляла себя как популярное онлайн-агентство путешествий Booking.com. Эта кампания, известная как Storm-1865, была нацелена на гостиничный
0
11 часов
IOC

Мошеннические криптоинвестиционные платформы, использующие схемы пирамид для обмана жертв

security
Исследователи Unit 42 обнаружили кампанию, которая распространяет мошеннические криптовалютные инвестиционные платформы через веб-сайты и мобильные приложения.