Главная страница » IOC
0
6 месяцев
IOC

WrnRAT Malware IOCs

remote access Trojan

Аналитический центр AhnLab Security (ASEC) обнаружил вредоносное ПО, распространяющееся под видом азартных игр, таких как badugi, 2-player go-stop и hold'em. Злоумышленник создает маскировочный веб-сайт, представляющийся сайтом азартных игр, и, при загрузке программы запуска игры, устанавливает вредоносное ПО. Это вредоносное ПО может контролировать зараженную систему и красть информацию. Вредоносная программа получила название WrnRAT, основанное на строках, использованных при ее создании.

WrnRAT Malware

Также есть свидетельства распространения вредоносного ПО, которое маскируется под программу оптимизации компьютера. В процессе распространения использовались платформы типа HFS.

Предполагается, что сначала устанавливается пакетный вредоносный скрипт, через который устанавливается дроппер. Пакетный скрипт содержит комментарии на корейском языке. Дроппер распространяется под именами "Installer2.exe", "Installer3.exe" и "installerABAB.exe" и создан на .NET. При запуске дроппер создает программу запуска и WrnRAT, а затем самоудаляется. WrnRAT создается под видом Internet Explorer в пути с именем "iexplorer.exe".

WrnRAT разработан на языке Python и распространяется в виде исполняемого файла с помощью PyInstaller. Он используется для захвата экрана пользователя, отправки системной информации и завершения процессов. Кроме того, злоумышленник создает и использует другое вредоносное ПО для конфигурации брандмауэров.

Злоумышленник нацелен на пользователей азартных игр, чтобы получать финансовую выгоду. Он может следить за игровым процессом пользователей и наносить им финансовые убытки. Пользователям рекомендуется избегать загрузки инсталляторов с нелегальных и подозрительных источников. Также следует обновить антивирус V3 до последней версии, чтобы предотвратить заражение вредоносным ПО.

Indicators of Compromise

IPv4

  • 160.251.93.181

Domains

  • aaba1.kro.kr
  • delete1.kro.kr
  • inddio23.kro.kr
  • nt89kro.kr
  • nt89s.kro.kr

URLs

  • http://112.187.111.83:5723/installerABAB/bound.exe
  • http://112.187.111.83:5723/installerABAB/iexplore.exe
  • http://112.187.111.83:5723/installerABAB/installerABAB.cmd
  • http://112.187.111.83:5723/installerABAB/installerABAB.exe
  • http://112.187.111.83:5723/installerABAB/MicrosoftEdgeUpdate.exe

MD5

  • 0159b9367f0d0061287120f97ee55513
  • 03896b657e434eb685e94c9a0df231a4
  • 0725f072bcd9ca44a54a39dcec3b75d7
  • 0d9e94a43117a087d456521abd7ebc03
  • 1b8dfc3f131aaf091ba074a6e4f8bbe6
Комментарии: 0
Похожие записи
0
1 день
IOC

Цепочка атак, позволяющая избежать обнаружения и усложнить анализ

security
В декабре 2024 года специалисты обнаружили сложную цепочку атак, которая использовала несколько уровней для доставки вредоносного программного обеспечения, такого как Agent Tesla, Remcos RAT или XLoader.
0
2 дня
IOC

Remcos RAT IOCs - Part 27

remote access Trojan
Remcos - это вредоносная программа типа RAT, которую злоумышленники используют для удаленного выполнения действий на зараженных машинах. Эта вредоносная программа чрезвычайно активно обновляется: обновления выходят практически каждый месяц.
0
3 дня
IOC

Новые TTP и кластеры APT, атакующие с использованием нескольких платформ

security
Команда Seqrite Labs сообщает о новых тактиках, применяемых группировкой SideCopy APT, связанной с Пакистаном. Группа расширила свою сферу деятельности, теперь включая организации, входящие в состав министерств
0
4 дня
IOC

Тенденции в распространении вредоносного стилеров за март 2025 года

Spyware
В AhnLab Security Intelligence Center (ASEC) разработаны системы для предварительного реагирования на угрозы по типу Infostealer. Системы автоматически собирают вредоносное программное обеспечение и производят