Главная страница » IOC
0
1 год
IOC

WogRAT Malware IOCs

remote access Trojan

Аналитический центр AhnLab Security (ASEC) сообщил о распространении вредоносного программного обеспечения (ПО) под названием WogRAT через онлайн-платформу aNotepad. WogRAT поддерживает как системы Windows, так и Linux. Вредоносные программы маскируют себя под легитимные утилиты для привлечения пользователей.

WogRAT

WogRAT, вероятно, используется в атаках уже с конца 2022 года. Пока что только атаки на Windows были обнаружены, и основными целями являются азиатские страны, такие как Гонконг, Сингапур, Китай и Япония.

Вредоносная программа для Windows использует маскировку под инструмент Adobe и разработана на .NET. При запуске она компилирует исходный код и загружает его. Загруженная DLL загружает строки из платформы aNotepad, расшифровывает их и загружает информацию. Загружаемая DLL является вредоносной программой с бэкдором, известной как WingsOfGod. WogRAT собирает информацию о зараженной системе и отправляет ее на сервер управления и контроля (C&C). Затем программа выполняет команды, отправляет результаты и загружает файлы.

Структура данных, отправляемых WogRAT, состоит из нескольких видов запросов. Команды включают выполнение команд, загрузку файлов, выгрузку файлов и изменение времени ожидания. Для загрузки файлов используется протокол FTP.

Версия WogRAT для Linux использует Tiny SHell с открытым исходным кодом. Она также меняет свое имя на имя легитимного процесса и собирает информацию о системе. Похоже, что WogRAT для Linux и Windows используют схожие методы распространения и взаимодействия с C&C-сервером. Они также маскируют свои имена под "[kblockd]".

Indicators of Compromise

Domain Port Combinations

  • linuxwork.net:80
  • w.linuxwork.net:443

URLs

  • http://newujs.com/a14407a2
  • http://newujs.com/abc
  • http://newujs.com/cff/wins.jpg
  • http://newujs.com/dddddd_oo
  • https://jp.anotepad.com/note/read/b896abi9
  • https://js.domaiso.com/jquery.min-2.js
  • https://newujs.com/tt.php?fuckyou=1
  • https://t0rguard.net/c/
  • https://w.newujs.com/c/

MD5

  • 1341e507f31fb247c07beeb14f583f4f
  • 1aebf536268a9ed43b9c2a68281f0455
  • 290789ea9d99813a07294ac848f808c9
  • 3669959fdb0f83239dba1a2068ba25b3
  • 5769d2f0209708b4df05aec89e841f31
  • 655b3449574550e073e93ba694981ef4
  • 7bcfea3889f07f1d8261213a77110091
  • 929b8f0bdbb2a061e4cf2ce03d0bbc4c
  • a35c6fbe8985d67a69c918edcb89827e
  • da3588a9bd8f4b81c9ab6a46e9cddedd
  • e9ac99f98e8fbd69794a9f3c5afdcb52
  • f271e0ae24a9751f84c5ae02d29f4f0e
  • f97fa0eb03952cd58195a224d48f1124
  • fff21684df37fa7203ebe3116e5301c1
Комментарии: 0
Похожие записи
0
3 дня
IOC

Цепочка атак, позволяющая избежать обнаружения и усложнить анализ

security
В декабре 2024 года специалисты обнаружили сложную цепочку атак, которая использовала несколько уровней для доставки вредоносного программного обеспечения, такого как Agent Tesla, Remcos RAT или XLoader.
0
4 дня
IOC

Remcos RAT IOCs - Part 27

remote access Trojan
Remcos - это вредоносная программа типа RAT, которую злоумышленники используют для удаленного выполнения действий на зараженных машинах. Эта вредоносная программа чрезвычайно активно обновляется: обновления выходят практически каждый месяц.
0
5 дней
IOC

Новые TTP и кластеры APT, атакующие с использованием нескольких платформ

security
Команда Seqrite Labs сообщает о новых тактиках, применяемых группировкой SideCopy APT, связанной с Пакистаном. Группа расширила свою сферу деятельности, теперь включая организации, входящие в состав министерств
0
6 дней
IOC

Тенденции в распространении вредоносного стилеров за март 2025 года

Spyware
В AhnLab Security Intelligence Center (ASEC) разработаны системы для предварительного реагирования на угрозы по типу Infostealer. Системы автоматически собирают вредоносное программное обеспечение и производят