VBSAESStager
Стажер VBScript AES. короно-лицевой.Ру С2. Обфускация на уровне символов с разделителем Кили. AES-CBC IV — первые 16 байтов из BLOB-объекта Base64. Расшифрованная полезная нагрузка Invoke-Expression. HKLM Запуск сохранения ключа.
Профиль угрозы
Тип
Loader
Язык программированияVBScript
C2 ПротоколHTTP
Первое обнаружение2023
Цели
Küresel
Назначение / Возможности
- Погрузчик/стагер
C2 Серверы 1
| Адрес | Порт | Протокол | Статус | Действие |
|---|---|---|---|---|
coronofacial.ru
|
80 | HTTP | INACTIVE |
⚠ Адреса C2 публикуются исключительно в целях киберразведки и защиты. Несанкционированный доступ к этим адресам является уголовным преступлением.
Исследовательские отчёты (1)
VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik
VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.
Читать отчёт →