Главная страница » IOC
0
9 месяцев
IOC

Vidar Stealer IOCs - Part 5

Spyware

В мае 2024 года отдел реагирования на угрозы (TRU) компании eSentire обнаружил атаку, в которой использовался поддельный инструмент активации KMSPico для доставки вредоносной программы Vidar Stealer. Активация KMSPico выполнялась через веб-поиск, где пользователь перешел на сайт kmspico[.]ws. Этот сайт был размещен на Cloudflare Turnstile и требовал ввода кода для загрузки конечного Zip-пакета, чтобы скрыть его от автоматических веб-краулеров.

В анализе атаки была обнаружена использование Java-зависимостей и вредоносного исполняемого файла Setuper_KMS-ACTIV.exe, который отключал мониторинг поведения в Защитнике Windows. Затем запускался вредоносный AutoIt-скрипт с именем "x" и AutoIt-файлом Flour.pif. В скрипте содержалась зашифрованная полезная нагрузка Vidar, которая внедрялась в текущий процесс AutoIt с использованием шелл-кода для расшифровки.

Vidar Stealer использует Telegram для хранения IP-адреса для команд и управления (C2). Он использует Dead Drop Resolver (DDR) для размещения C2-информации на легитимных веб-сервисах, скрывая свою инфраструктуру.

Этот инцидент подчеркивает важность избегания нелегальных активаторов программного обеспечения и получения программного обеспечения только из легитимных источников. Также он указывает на необходимость поддержания актуального программного обеспечения безопасности и принятия дополнительных мер защиты от вредоносных действий. Инцидент также обращает внимание на риски загрузки файлов из непроверенных и подозрительных источников.

Команда TRU успешно изолировала пострадавший хост и уведомила клиента о подозрительных действиях, обеспечив дополнительную поддержку и устранение последствий. Выводы из этого инцидента включают важность выбора легитимного программного обеспечения, поддержку актуального безопасного программного обеспечения и осведомленность пользователей о рисках загрузки файлов из непроверенных источников.

Indicators of Compromise

IPv4 Port Combinations

  • 116.202.5.235:9000

Domains

  • kmspico.ws

MD5

  • 6b6d562c71b953f41b6915998f047a30
  • b06e67f9767e5023892d9698703ad098
  • c7ece036a2284fba0f5d31055b44846f
Комментарии: 0
Похожие записи
0
23 часа
IOC

Тенденциях развития Infostealer за февраль 2025 года

Spyware
Для сбора данных и противодействия Infostealer разведывательный центр AhnLab Security использует разные системы, такие как автоматическая система сбора вредоносных программ, медовые точки электронной почты и система анализа C2-информации.
0
2 дня
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное