ModiLoader Анализ вредоносного ПО

Свойства файла

SHA256: 3b1dc7e0c9154fe384c695f8eec5622ab2ba88bf59d990def6b2c11d8519cecf

MD5: 3c92d4e743bd7d72ea967445fee5cdf8

Тип файла: exe

Размер: 1,683,928 byte

Первое обнаружение: 2020-11-21

Сигнатура AV: ModiLoader

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Кто сообщил: JAMESWT_WT

Метки: ModiLoader, signed, Smart Line Logistics

Статический анализ: на основе метаданных (образец не загружался)

ModiLoader — Профиль вредоносного ПО

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

Тип вредоносного ПО
Loader
Язык программирования
Delphi
C2 Протокол
HTTP
Целевые системы
Windows

Технические детали

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — ModiLoader
# FILEPATH 3b1dc7e0c9154fe384c695f8eec5622ab2ba88bf59d990def6b2c11d8519cecf
ТипЗначениеПримечание
filepath 3b1dc7e0c9154fe384c695f8eec5622ab2ba88bf59d990def6b2c11d8519cecf PDB
Теги
ModiLoadersignedSmart Line Logistics