TTL OSINT

Латродектус упал на 4 рубля ☺

В этой статье рассматривается анализ недавней кампании с использованием вредоносного ПО Latrodectus, которое было удалено вредоносной программой BruteRatel. Посредник первоначального доступа кампании восстановил загрузчик вредоносного ПО менее чем через месяц после операции "Финал". Вредоносная программа Latrodectus загружается и запускается с использованием файла MSI с помощью ActiveXObject("Установщик Windows".Установщик"). MSI устанавливается в каталог AppData и использует пользовательское действие для запуска вредоносной библиотеки DLL aclui.dll. Библиотека DLL хранится в MSI в сегменте Files, что делает ее извлечение удобным с помощью MSIViewer. У последней стадии BruteRatel, 77a8e883db7da0b905922f7babc79f1c1b78a521b0a31f6d13922bc0603da427, есть некоторые паттерны памяти, связанные с Latrodectus, но BR4 C2 в настоящее время отключены, что предотвращает полное заражение. В статье также приводится анализ образца Latrodectus из той же кампании.

Отказ от ответственности: Эта статья является частью автоматизированной коллекции рекомендаций X-Force OSINT, предназначенной для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.krakz.fr/articles/latrodectus/

Выборочные показатели Compromise:

• 53b0d542af077646bae5740f0b9423be9fb3c32e04623823e19f464c7290242f
• 23303910ff8d01d4d6e1499a627dfa6006793faf36766e0f1e7b9fdf15fb0715
• 9e7fdc17150409d594eeed12705788fbc74b5c7f482a64d121395df781820f46
• 04086187681a0737f44284e2f715e3d90a7284157916cf1ece61cccc6d975227
• 156c0afc01a5e346b95ebdb60cea9b7046ad7a61199cd63d6ad0f4ae32a576ac

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал