One Article Review
| Source |  Contagio |
|---|---|
| Identifiant | 8585171 |
| Date de publication | 2024-09-25 19:38:05 (vue: 2024-09-26 00:17:23) |
| Titre | 2024-09-23 Échantillons de rat à plusieurs étapes Snipbot RomCom 2024-09-23 SNIPBOT RomCom Multi-Stage RAT Samples |
| Texte | Image gracieuseté de Palo Alto & nbsp; & nbsp; 2024-09-23 Palo Alto Unit42: Inside Snipbot: La dernière variante de logiciels malveillants RomCom & nbsp; Cette dernière version intègre de nouvelles techniques d'obscuscation et présente un post distinct-Activités d'infection non observées dans les variantes précédentes (RomCom 3.0 et Peapod / RomCom 4.0). Points clés: Capacités: Snipbot permet aux attaquants d'exécuter des commandes et de télécharger des modules supplémentaires sur le système de la victime. livré par e-mail contenant des liens qui redirigent vers le téléchargeur Snipbot.Clé de registre.explorateur.exe en utilisant le détournement com.Plus précisément, il enregistre la DLL malveillante ( keyprov.dll ) en tant que bibliothèque de caches de vigne> La charge utile principale, single.dll , écoute le port 1342 pour des commandes telles que la suppression des clés de registre, l'exécution( hkcu \ logiciel \ appdatasoft \ logiciel ) pour stocker les charges utiles cryptées et garder une trace des mises à jour. Command &Contrôle: contacte ses domaines C2 (par exemple, xeontime [.] Com ) pour télécharger les charges utiles.Cryptes les chaînes, y compris les noms de fonction du domaine C2 et de l'API, pour échapper à la détection. & nbsp; Télécharger.Envoyez-moi un e-mail si vous avez besoin du schéma de mot de passe. Informations sur le fichier ├sé 327087b063e89c376fd84d48af7b855E686936765876DA2433485D496CB3A4 P; ├── 57e59b156a3ff2a333075baef684f49c63069d296b3b0 |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | 0be3116a3edc063283f3693591c388eec67801cdd140a90c4270679e01677501 100 1342 2024 2c327087b063e89c376fd84d48af7b855e686936765876da2433485d496cb3a4 5390ba094cf556f9d7bbb00f90c9ca9e04044847c3293d6e468cb0aaeb688129 57e59b156a3ff2a3333075baef684f49c63069d296b3b036ced9ed781fd42312 5b30a5b71ef795e07c91b7a43b3c1113894a82ddffc212a2fa71eebc078f5118 5c71601717bed14da74980ad554ad35d751691b2510653223c699e1f006195b8 a2f2e88a5e2a3d81f4b130a2f93fb60b3de34550a7332895a084099d99a3d436 acrobat activities activity:downloads additional adobe allows also alto alto 2024 anti api appdatasoft around atch attachment attackers available b9677c50b20a1ed951962edcb593cce5f1ed9c742bc7bff827a6fc420202b045 based been blog blogspot breach broken cache cfb1e3cc05d575b86db6c85267a52d8f1e6785b106797319a72dd6d19b4dc317 checking classes clsid com command commands contacts contagiodump contagiominidump containing control control: courtesy creates data deleting delivered deploys detection distinct dll dlls documents domain domains download download download downloader dropped due email employs encrypted encrypts entries especially evade evidence exe exe └── exe ├── executable execute executing exes exhibits explorer f74ebf0506dc3aebc9ba6ca1e7460d9d84543d7dadb5e9912b86b843e8a5b671 file find flow followed from function further has have hijacking hkcu hosting image including infection information├── initial initiating injecting inside integrates its job june2024 just keep key keyprov keys latest least led library link links linksover list listens malicious malware manages many medical message modules multi name names need not note novel obfuscation older onto original palo password past payload payloads pdf malware pdf open peapod/romcom points:capabilities: policies port post posts previous primary providers rat recentdocs redirect registers registry repo report romcom samples sandbox scan052224 scheme search seen signed single snipbot snipbot: software specifically stage storage store stored stricter strings such support system techniques the contagio them thumbnail track tricks unit42: unsigned updates url uses using variant this variants vector: verifying version victim webtime window xeontime years резюме |
| Tags | Data Breach Malware Medical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.