WTSSessionHijacker
Инструмент перехвата сеанса RDP/WTS с использованием API служб терминалов Windows (wtsapi32.dll). Перечисляет все сеансы RDP (WTSEnumerateSessionsW), крадет токены пользователей (WTSQueryUserToken), выполняет вход на основе учетных данных (LogonUserW) и передает информацию через authz.dll (AuthzAddSidsToContext). Очищает журналы событий (ClearEventLogA) и может управлять службами (ControlService). Зашифрованная полезная нагрузка .rsrc размером 300 КБ расшифровывается при запуске
Профиль угрозы
Тип
RAT
Язык программированияC/C++
C2 Протоколcustom
Первое обнаружение2024
Цели
Kuresel/Kurumsal
Назначение / Возможности
- Взлом RDP/Боковое перемещение
Для этого семейства пока не обнаружено C2-серверов.
Исследовательские отчёты (1)
WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek
WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.
Читать отчёт →