ArtFulpie - вредоносная программа, отвечающая за извлечение и внедрение полезной нагрузки на основе DLL. ArtFulpie содержит жестко закодированный URL-адрес, с которого можно загрузить дополнительный код. Использование данного инструмента приписывают Lazarus Group / Hidden Cobra.
ArtFulpie
ArtFulpie представляет собой загрузчик/загрузчик, который выполняет следующие действия:
- загружает жестко закодированный URL hxxp[:]//193[.]56[.]28[.]103:88/xampp/thinkmeter[.]dll в память, используя строку user-agent: "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)".
- загружает .dll в собственное адресное пространство вручную (полностью в память).
- вызывает точку входа .dll.
Indicators of Compromise
IPv4
- 193.56.28.103
URLs
- http://193.56.28.103:88/xampp/thinkmeter.dll
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые ArtFulpie.
ID | Техника | CWE | Описание | Доверие |
1 | T1006 | CWE-22 | Обход имени пути | Высокий |
2 | T1055 | CWE-74 | Инъекция | Высокий |
3 | T1059 | CWE-88, CWE-94 | Межсайтовый скриптинг | Высокий |
4 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |