Главная страница » IOC
0
2 дня
IOC

ViperSoftX распространяется злоумышленником, говорящим на арабском языке

remote access Trojan

Аналитический центр AhnLab Security (ASEC) обнаружил вредоносное ПО ViperSoftX, которое распространяется на корейских пользователей злоумышленниками, говорящими на арабском языке.

Описание

Вредоносная программа обычно распространяется через взломанное программное обеспечение или торренты, маскируясь под легитимные программы. Основная особенность ViperSoftX заключается в том, что она работает как PowerShell-скрипт. В процессе коммуникации с контрольно-управляющими серверами (C&C) в путь URI всегда включаются арабские параметры. После завершения процесса C&C-коммуникации загружается дополнительное вредоносное ПО. Код PowerShell и VBS, используемый для C&C-коммуникации, содержат арабские комментарии, что указывает на то, что злоумышленник владеет арабским языком.

Дополнительное вредоносное ПО, загружаемое с помощью ViperSoftX, включает в себя VBS-загрузчик, VBS Runner и загрузчик PowerShell (a.ps1). VBS-загрузчик выполняет сценарии PowerShell и VBS-файлы, загруженные с C&C-сервера злоумышленника. Второй файл, run.vbs, запускает a.ps1 с помощью команды PowerShell. Он загружает и выполняет PureCrypter и Quasar RAT, обеспечивая им привилегии администратора. Задача PowerShell-скрипта заключается в получении административных прав и обхода антивирусного программного обеспечения, чтобы выполнить удаленно загруженное вредоносное ПО.

Дополнительное вредоносное ПО, загружаемое с помощью PowerShell, включает в себя PureCrypter и Quasar RAT. PureCrypter - это коммерческий вредоносный пакет .NET, который используется злоумышленниками для загрузки и выполнения различных функций, таких как векторы заражения, методы уклонения от обнаружения и методы внедрения. Он использует библиотеку protobuf для сетевого взаимодействия с C&C-сервером. Quasar RAT - это инструмент удаленного доступа с открытым исходным кодом, который позволяет злоумышленникам удаленно управлять зараженными системами.

Вредоносная программа распространяется с использованием различных файлов и путей, включая nvidia.exe, teamviewer.exe, temp.exe и words.exe. Контрольно-управляющие адреса C&C включают 89.117.79[.]31:56005, 89.117.79[.]31:56004, 89.117.79[.]31:56003 и 65.109.29[.]234:7702. Злоумышленники, говорящие на арабском языке, использовали ViperSoftX и дополнительное вредоносное ПО для нацеленных атак на корейских жертв.

Indicators of Compromise

IPv4

  • 136.243.132.112
  • 65.109.29.234
  • 89.117.79.3

IPv4 Port Combinations

  • 65.109.29.234:7702
  • 89.117.79.31:56003
  • 89.117.79.31:56004
  • 89.117.79.31:56005

MD5

  • 05cbfc994e6f084f536cdcf3f93e476f
  • 4c6daef71ae1db6c6e790fca5974f1ca
  • 70e51709238385fd30ab427eb82e0836
  • 7d937e196962e3ebbbdee6d3a002f0cf
  • e5d6c58d17ebce8b0e7e089dfc60ff1a
Комментарии: 0
Похожие записи
0
2 дня
IOC

Тенденции марта 2025 года в области фишинговых писем

phishing
Наиболее распространенным типом угрозы среди фишинговых писем был фишинг, при котором злоумышленники используют скрипты, такие как HTML, чтобы подделать макет экрана, логотипы и шрифты страниц входа в систему и рекламных страниц.
0
3 дня
IOC

NEPTUNE RAT: продвинутая Windows RAT с возможностью разрушения системы и извлечения паролей из 270+ приложений

remote access Trojan
Neptune RAT использует передовые методы антианализа и персистентные методы для сохранения своего присутствия в системе жертвы в течение длительного времени и оснащен такими опасными функциями, как криптокопилка
0
8 дней
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.