TTL OSINT

09.09.2024 237 2 мин.

Локи: новый частный агент для популярного фреймворка Mythic

В июле 2024 года был обнаружен ранее неизвестный бэкдор под названием Loki, который использовался в серии целенаправленных атак. Loki - это закрытая версия агента для фреймворка Mythic с открытым исходным кодом, которая позволяет использовать агенты на любом языке, для любой платформы, с требуемой функциональностью. Агент Loki основан на другом фреймворке, Havoc, и использует различные методы для усложнения анализа, такие как шифрование образа в памяти и поиск функций API по хэшам. Функция загрузки Loki генерирует пакет, содержащий информацию о зараженной системе, и отправляет его в зашифрованном виде на сервер управления (C2). Основной модуль Loki, основанный на версии Havoc, поддерживает команды, заимствованные у других агентов Mythic, и использует серию хэшей для обработки полученных команд. Вредоносная программа была обнаружена на нескольких компьютерах в России и, вероятно, распространялась по электронной почте. На момент проведения исследования не было возможности отнести Loki к какой-либо известной группе.

Отказ от ответственности: Эта статья является частью автоматизированной коллекции рекомендаций X-Force OSINT, предназначенной для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://securelist.com/loki-agent-for-mythic/113596/

Выборочные показатели Compromise:

• f0b6e7c0f0829134fe73875fadf3942f
• e8b110b51f45f2d64af6619379aeef62
• aa544118deb7cb64ded9fdd9455a277d0608c6985e45152a3cbb7422bd9dc916
• 7f85e956fc69e6f76f72eeaf98aca731
• f2132a3e82c2069eb5d949e2f1f50c94

Источник: TTL OSINT