VBSAESStager

Стажер VBScript AES. короно-лицевой.Ру С2. Обфускация на уровне символов с разделителем Кили. AES-CBC IV — первые 16 байтов из BLOB-объекта Base64. Расшифрованная полезная нагрузка Invoke-Expression. HKLM Запуск сохранения ключа.

Профиль угрозы
Тип Loader
Язык программированияVBScript
C2 ПротоколHTTP
Первое обнаружение2023
Цели Küresel
Назначение / Возможности
  • Погрузчик/стагер

C2 Серверы 1

Адрес Порт Протокол Статус Действие
coronofacial.ru
80 HTTP INACTIVE

⚠ Адреса C2 публикуются исключительно в целях киберразведки и защиты. Несанкционированный доступ к этим адресам является уголовным преступлением.

Исследовательские отчёты (1)

Критический

VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik

VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.

Читать отчёт →