WTSSessionHijacker

Инструмент перехвата сеанса RDP/WTS с использованием API служб терминалов Windows (wtsapi32.dll). Перечисляет все сеансы RDP (WTSEnumerateSessionsW), крадет токены пользователей (WTSQueryUserToken), выполняет вход на основе учетных данных (LogonUserW) и передает информацию через authz.dll (AuthzAddSidsToContext). Очищает журналы событий (ClearEventLogA) и может управлять службами (ControlService). Зашифрованная полезная нагрузка .rsrc размером 300 КБ расшифровывается при запуске

Профиль угрозы
Тип RAT
Язык программированияC/C++
C2 Протоколcustom
Первое обнаружение2024
Цели Kuresel/Kurumsal
Назначение / Возможности
  • Взлом RDP/Боковое перемещение
Для этого семейства пока не обнаружено C2-серверов.

Исследовательские отчёты (1)

Высокий

WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek

WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.

Читать отчёт →