Главная страница » IOC
0
4 месяца
IOC

Winos4.0 Framework IOCs

security

Исследователи из компании Fortinet обнаружили Winos4.0, продвинутый фреймворк, созданный на основе трояна удаленного доступа (RAT) Gh0st и состоящий из модульных компонентов, которые позволяют злоумышленникам получить обширный контроль над зараженными системами.

Winos4.0 Framework

Эта вредоносная программа использовалась в ряде кампаний, часто скрываясь в игровых приложениях, таких как инструменты установки и программы оптимизации. Лаборатория FortiGuard Labs обнаружила образцы Winos4.0, вероятно, нацеленные на образовательные учреждения, поскольку используются дескрипторы файлов типа «Campus Administration».
Процесс заражения начинается, когда пользователь открывает вредоносное игровое приложение, которое извлекает замаскированный BMP-файл, содержащий вредоносные DLL-библиотеки. Эти DLL, такие как «you.dll» и «libcef.dll», настраивают среду выполнения, загружают дополнительные файлы и устанавливают постоянство путем добавления ключей реестра или запланированных задач. После установки шелл-код Winos4.0 подключается к командно-контрольному серверу (C2) для загрузки зашифрованных модулей, которые позволяют управлять системой, регистрировать данные и перехватывать информацию. Дополнительные плагины, полученные с сервера C2, позволяют осуществлять мониторинг и извлечение данных, что представляет серьезную опасность для конфиденциальной информации на взломанных устройствах. Winos4.0 функционирует аналогично другим мощным фреймворкам, таким как Cobalt Strike, и чтобы не стать жертвой подобных угроз, пользователям необходимо загружать приложения только из надежных источников.

Indicators of Compromise

IPv4

  • 202.79.173.4

Domains

  • ad59t82g.com

URLs

  • http://ad59t82g.com/1/d.bmp
  • http://ad59t82g.com/1/h.bmp
  • http://ad59t82g.com/1/lon2.bmp
  • http://ad59t82g.com/1/t2.bmp
  • http://ad59t82g.com/1/text.bmp

SHA256

  • 033965f3063bc2a45e5bd3a57ffce098b9308668d70b9b3063f066df5f3e55dd
  • 04edb6585118d09205ee693a54249ed68ebbf68b3fc3d711d2aa0c815b7b3a23
  • 1354796b44239eef177431584848029161c232401a9580481dbfb5196465250e
  • 1a48347f5fc7c63cc03f30810f961133bd3912caf16ac403e11bc3491117181d
  • 284cf31ebb4e7dc827374934ad0726f72e7aaef49cadc6aa59d2a2ff672d3fe8
  • 37104f3b3646f5ffc8c78778ec5fdc924ebb5e5756cb162c0e409d24bedf406d
  • 3fae0495fd0acc7722c2482c0ef3c6ab9ee41acbcaac46a8933c7b36b8896378
  • 51c7f320b95a64bcff050da86c7884bb4f89a5d00073d747f0da7345c8a4501f
  • 80b1d6411e29e51e54f20f46856d31b28e087e9244693e65d022b680c4ba00ce
  • 8748bb7512f16f8122779171686abe0fa0060f1126298290e240457dc90d0aa7
  • 8f0079a41a262536f502b4b57473effd6ab7955bc2d6e99e0910df18e990a9f6
  • 922512203c7b9fa67e8db2f588ff4945f63e20c4bc0aafccdba749a442808ace
  • a27dc6e5aea0c3168117cfde2adb01f73f20881fc6485b768915216c46115064
  • a30b68ed39c1517d10b747c2fcd7a72cb12dc8f434203243e7c50df0e56d17d0
  • b2a3aaf4eb4deb85462e1ee39c84caf2830091c1bff8014ad13147897b25e24c
  • b763d77b7aaa83d6c4a9e749cd3c7638127e755d3dc843b15b6c4afce1f468b5
  • bef32532923903b12f04b54dd06ec81661f706c3b1397bc77c45492db3919248
  • c9817d415d34ea3ae07094dae818ffe8e3fb1d5bcb13eb0e65fd361b7859eda7
  • dcdbc3b246233befa25b67909a01b835f1875f4047875ef13f1b801cd2da6fcd
  • f41236ab5ceffc5379fcf444de358cbc6f67beb31d0e0fd3f7ed0f501eb740ff
  • ff0c28c81cd0afd78f78c79863c9f4c8afd9d3877a213dfc2dbb55360b7d93ab
Комментарии: 0
Похожие записи
0
1 день
IOC

Fortinet выявляет вредоносные пакеты в дикой природе

security
Лаборатория FortiGuard Labs провела анализ пакетов вредоносного программного обеспечения, обнаруженных с начала ноября 2024 года, и идентифицировала различные методы, используемые для эксплуатации уязвимостей системы.
0
8 дней
IOC

Havoc : SharePoint с Microsoft Graph API превращается в FUD C2

security
Havoc - это мощный командно-контрольный фреймворк (C2). Как и другие известные C2-фреймворки, такие как Cobalt Strike, Silver и Winos4.0, Havoc использовался в кампаниях злоумышленников для получения полного контроля над целью.
0
12 дней
IOC

Winos 4.0 распространяется через выдаваемые за официальные электронные письма среди пользователей в Тайване

security
Лаборатория FortiGuard Labs обнаружила новую атаку в январе 2025 года, использующую Winos4.0 - продвинутый фреймворк вредоносного ПО, который способствовал недавним кампаниям по борьбе с угрозами в Тайване.
0
19 дней
IOC

Snake Keylogger IOCs - Part 4

security
Лаборатории FortiGuard Labs сообщают о обнаружении новой вредоносной программы Snake Keylogger (также известной как 404 Keylogger), которая была идентифицирована как AutoIt/Injector.GTY!