Главная страница » IOC
0
5 часов
IOC

Вредоносная программа-бот для windows"Blitz" злоупотребляет услугами "Hugging Face"

security

С прошлого года специалисты Palo Alto отслеживают вредоносную программу-бота для Windows под названием «Blitz».

Описание

  • - Цепочка заражения состоит из различных этапов: начальный дроппер, загрузчик и основной компонент ботнета.
  • Palo Alto  считают, что первоначальный вектор заражения - это либо игровой чит-код для недавних образцов, либо программа установки для старых образцов.
  • Игровые читы с обратным доступом рекламируются на Telegram-канале оператора вредоносной программы.
  • Этот агент угроз использует каталог приложений ИИ Hugging Face под названием «Spaces» для размещения вредоносных программ-ботов и выполнения командно-контрольных функций C2.
  • Конечной целью, по-видимому, является установка криптовалютного майнера на компьютеры жертв.
  • Отслеживая эту вредоносную программу в прошлом году, специалисты Palo Alto обнаружили новую версию, состоящую из нескольких этапов:
    • Начальный файл представляет собой либо пользовательский установщик, либо игровой чит-код, который извлекает загрузчик первого этапа.
    • Загрузчик первого этапа извлекает основной компонент бота «Blitz» из Hugging Face Space.
    • Основной файл бота связывается с вредоносной программой C2, размещенной на том же Hugging Face Space, для отправки информации о жертве и загрузки команд или полезной нагрузки.
    • Конечной целью является загрузка криптовалютного майнера XMRig на систему жертвы.
  • Изначально читы были установлены для игры Standoff 2 на Android.
  • Оператор вредоносной программы ведет канал в Telegram, где публикует читы для игр, которые можно скачать.
    • (Рабочие) читы, используемые для бэкдора, получены из других Telegram-каналов.
    • Предполагается, что читы запускаются с помощью эмулятора Windows Android BluestStacks.
  • - Вредоносная программа C2 представляет собой REST API, размещенный на Hugging Face Space.
    • REST API вредоносной программы разработан с помощью фреймворка FastAPI.
    • Для запуска приложения FastAPI используется встроенный Docker SDK Hugging Face Space.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Domains
  3. Domain Port Combinations
  4. SHA256

IPv4

  • 176.65.137.44

Domains

  • e445a00fffe335d6dac0ac0fe0a5accc-9591beae439b860-b5c7747.hf.space
  • swizxx-blitz-net.hf.space

Domain Port Combinations

  • pool.supportxmr.com:3333

SHA256

  • 056fb07672dac83ef61c0b8b5bdc5e9f1776fc1d9c18ef6c3806e8fb545af78c
  • 14467edd617486a1a42c6dab287ec4ae21409a5dc8eb46d77b853427b67d16d6
  • 1697daef685ce47578e44e2d19fa8e01c755de7fa297716b89e764ea046db1a0
  • 1bd55796ec712a98cf30fac404b29fcb2cdaa355cb596edcc12d8fbd918b4138
  • 1d9f12e356367c533ef756ab74d70fc537a580ec5ab904a4d583cebe0b89b4c4
  • 2007069b32bb9a7f87298fe3c1a87443c21f187ab8465c5b4a1505f0e5c7b898
  • 23086a1d207166154a1b1451f3174f7c5f5299dd4385d83fd8199833ce34325f
  • 47ce55095e1f1f97307782dc4903934f66beec3476a45d85e33e48d63e1f2e15
  • 5ef29d6d4f72e62e0d5a1d0b85eed70b729cd530c8cb2745c66a25f5b5c7299e
  • 5fc132b054099a1a65f377a3a22b003a6507107f3095371b44dbf5e098b02295
  • 6a55b7b01a8f7001e0e654f5feddcd0561b3694bcd2a9f9ca3e5f5e33dbbfc11
  • 8ed77eb6cd203e20b467d308bf7ee5213cbb2c055c4896b0af04e323bf67b887
  • a34a4a7c71de2d4ec4baf56fd143d27eeedebb785a2ba3e0740b92e62efd81ea
  • aa5cd0219e8a0bd2e7d6c073f611102d718387750198bff564c20ca7ebada309
  • ae2f4c49f73f6d88b193a46cd22551bb31183ae6ee79d84be010d6acf9f2ee57
  • b18e21e50f1c346c83c4cba933b6466ada22febaafa25c03ac01122a12164375
  • bedeafd3680cad581a619fb58aa4f57ed991c4a8dd94df46ef9cbd08a8dd6052
  • cacc1f36b3817e8b48fabbb4b4bd9d2f1949585c2f5170e3d2d04211861ef2ac
  • ce1940eb26f0609fc25aaecbf998d01f5a7d5420c91bfe5c4b710d057981850c
Комментарии: 0
Похожие записи