One Article Review
| Source |  Contagio |
|---|---|
| Identifiant | 8568626 |
| Date de publication | 2024-09-02 12:42:08 (vue: 2024-09-02 17:17:46) |
| Titre | 2024-08-22 Échantillons de logiciels malveillants de mémoire furtive de Peaklight uniquement 2024-08-22 PEAKLIGHT Stealthy Memory-Only Malware Samples |
| Texte | 2024-08-22 Mandiant: Décodage de la mémoire furtive - uniquement Méligne= "OKLAB (0.321088 -0.000220731 -0.00934622)" FACE = "" GG SANS "," NOTO SANS "," Helvetica Neue ", Helvetica, Arial, Sans-Serif," Apple Symbols "">: Aaron LEE , Praveeth Dsouza Analyse de la mémoire complexe-Un logiciels malveillants qui utilise une chaîne d'infection en plusieurs étapes pour échapper à la détection.L'attaque commence par un fichier de raccourci Microsoft malveillant (LNK) caché dans de faux fichiers zip.Lorsqu'il est exécuté, ce fichier utilise forfiles.exe et mshta.exe pour exécuter un script PowerShell fortement obscurci, qui télécharge plus de charges utiles à partir d'un CDN distant.Le script fonctionne entièrement dans la mémoire et utilise des routines de décryptage personnalisées pour gérer les charges utiles cryptées, protégées par AES-CBC ou AES-ECB et codée en hexadécimal ou en base64. Peaklight Deadades en utilisant des techniques de chargement latéral DLL DLLPour exécuter des infostelleurs comme CryptBot et Shadowlader malware, tout en déballant dynamiquement des fichiers zip et en exécutant leur contenu dans des répertoires cachés.En utilisant des outils Windows légitimes etRéseaux de livraison de contenu de confiance pour ses opérations. |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | └── ├── 07061f3fd8c15bdd484b55baa44191aa9d045c9889234550939f46c063e6211c 11e72df66c5673a99696cf302f1ea3aa35877b668474900e5272f0e33eb73348 2024 218106e2f5ee44e8ae3ecf62e5c2cb1c3db50e5825f4737c9d13bbd48114ed0b 31fa6a32b73ceef86560bdad24f0b69c50bf035cb1b18ccbf7a97857a39deb64 34dcc780d2a2357c52019d87a0720802a92f358d15320247c80cc21060fb6f57 3f86ca59335214a918870d86a47b21cc77f941dfcb32b7ba97620021621e7444 658ac17f4047ccc594edfd7c038701fe2c72ec2edf4aefe6f3c2dd28ab3dd471 8235bd354b95a117a50922b994732cba101815a26a502ab9dc039a533329e2a5 98a93c1e0708be18eea76134a5d49a052373c38458c8fb434339ca4c3e37a5ab 9fa7cacb5730faacc2b17d735c45ee1370130d863c3366d08ec013afe648bfa6 a1010375ee640ecb61d0912243ff7ca8ea56f3ad3eeacb0f109bff56f519c1fb aaaa aaron aes attack base64 bentonite bf1a0c67b433f52ebd304553f022baa34bfbca258c932d2b4b8b956b1467bfa5 by: cbc cdn cfg chain complex content contents cryptbot cryptbot│ custom cymophane d6b2e83093cdaa1c59777b91a68ebd801161cf0e8f6499ca41fd2f99dfb2d839 decoding decryption delivery detection directories dll dll dll ├── doc download downloads dsouzaanalysis dynamically e63d29cda8af6ad95286c11996f0ac32a70ac24c1c2baa78d22593babd826a41 ead01fc10a3a7c5bef4f37a8137724c290716d07f4f032d5057f2a198834d5d7 ecb email employing encoded encrypted entirely erefgojgbu│ evade evades exe exe exe │ execute executed fake file files forfiles from further handle heavily hexadecimal hidden infection information infostealers its lee legitimate like lnk loading lummac malicious malware mandiant: memory microsoft more movie mshta multi need networks obfuscated only operates operations oqnhustu│ password payloads peaklight peaklight│ powershell powershell└── praveeth protected remote routines run running samples script setup shadowladder shadowladder shortcut side skinutils stage starts stealthy techniques tools trusted unpacking uses using v2│ wcldll webview2loader when which windows zip zip zip ├── └── ├── |
| Tags | Malware Tool Cloud |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.