ArtFulpie Malware

malware Security

ArtFulpie - вредоносная программа, отвечающая за извлечение и внедрение полезной нагрузки на основе DLL. ArtFulpie содержит жестко закодированный URL-адрес, с которого можно загрузить дополнительный код. Использование данного инструмента приписывают  Lazarus Group / Hidden Cobra.

ArtFulpie

ArtFulpie представляет собой загрузчик/загрузчик, который выполняет следующие действия:

  • загружает жестко закодированный URL hxxp[:]//193[.]56[.]28[.]103:88/xampp/thinkmeter[.]dll в память, используя строку user-agent: "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)".
  • загружает .dll в собственное адресное пространство вручную (полностью в память).
  • вызывает точку входа .dll.

Indicators of Compromise

IPv4

  • 193.56.28.103

URLs

  • http://193.56.28.103:88/xampp/thinkmeter.dll

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые ArtFulpie.

ID Техника CWE Описание Доверие
1 T1006 CWE-22 Обход имени пути Высокий
2 T1055 CWE-74 Инъекция Высокий
3 T1059 CWE-88, CWE-94 Межсайтовый скриптинг Высокий
4 T1059.007 CWE-79, CWE-80 Межсайтовый скриптинг Высокий
Avatar for AdellMarzella
AdellMarzella
SEC-1275-1
Добавить комментарий