TTL OSINT

14.10.2024 200 2 мин.

HORUS Protector, Часть 2: Новый сервис распространения вредоносных программ

В статье "HORUS Protector, часть 2: Новая служба распространения вредоносных программ" рассказывается о новой службе распространения вредоносных программ Horus Protector, которая используется для распространения различных семейств вредоносных программ, таких как AgentTesla, Remcos, Snake и njRAT. Вредоносное ПО распространяется с помощью скриптов, содержащихся в архивных файлах, часто в виде скриптов VBE, закодированных в VBS. Цепочка заражения включает загрузку необходимых данных с сервера CnC, сохранение их в определенном реестре, создание нового скрипта VBS и планирование его запуска раз в минуту. Скрипт VBS проверяет наличие антивирусного программного обеспечения, в частности защитника Windows, и запускает загрузочный файл, если он включен. Файл загрузчика извлекает и запускает следующий загрузочный файл из реестра с помощью Elfetah.exe. Инжектор, erezake.dll, вводит полезную информацию в целевой процесс, например, MSBuild.exe, используя технологию ввода процесса с углублением в изображении. В данном случае вводимой полезной информацией был кейлоггер SNAKE, который крадет конфиденциальные данные. В статье также приводятся идентификационные номера IOCs и IP-адреса, относящиеся к вредоносному ПО.

Ссылка:https://blog.sonicwall.com/en-us/2024/10/horus-protector-part-2-the-new-malware-distribution-service/

Выборочные показатели Compromise:

• https://blog.sonicwall.com/en-us/2024/10/horus-protector-part-2-the-new-malware-distribution-service/
• blog.sonicwall.com
• 8acccb571108132e1bbe7c4c60613f59
• fd4302cdfacbc18e723806fde074625b
• 144.91.79.54

Источник: TTL OSINT