TTL OSINT

HORUS Protector, Часть 1: Новый сервис распространения вредоносных программ

HORUS Protector - это недавно обнаруженный сервис распространения вредоносных программ, который утверждает, что его полностью невозможно обнаружить. Он распространяет различные семейства вредоносных программ, включая AgentTesla, Remcos и Snake, и имеет интерфейс на французском языке. Авторы предлагают различные пакеты услуг с различными функциями и имеют группу в Telegram для обновлений и поддержки клиентов. Инструмент генерирует уникальный идентификатор пользователя на основе аппаратной конфигурации системы и подключается к серверу для обработки полезной нагрузки вредоносного ПО. Основная обработка выполняется на стороне сервера, а цепочка заражения загружается в виде скрипта VBE. Инструмент использует технологию сохранения данных и проверяет наличие обнаружений AV с помощью таких сервисов, как kleenscan[.]com. Хэши зашифрованного вредоносного ПО проверяются на VirusTotal для обновления механизма и тактики генерации полезной нагрузки. В инструменте есть вкладка "Информация о пользователе" для подробной информации о пользователе и вкладка "Шифровальщик" для предоставления полезной нагрузки вредоносного ПО и ее внедрения при выполнении. Данные передаются на сервер после выбора всех необходимых полей.

Ссылка:https://blog.sonicwall.com/en-us/2024/10/horus-protector-part-1-the-new-malware-distribution-service/

Выборочные показатели Compromise:

• 0250722d091337129c84d9e82bb626f5
• 7b9717229f2d8a289da22ba4db19a892
• 4564f734da06c25128722ff9d6188eab
• f9aebea5a93ab48c69bb116e70478d09

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал