ModiLoader Анализ вредоносного ПО

Свойства файла

SHA256: 99af8a4532410841d87e0840619d50b8726e15ea0ab397fd1d8c6e32bb286486

MD5: 923a921ea3ca73b082fd95225105c852

Тип файла: exe

Размер: 646,808 byte

Первое обнаружение: 2020-10-16

Сигнатура AV: ModiLoader

Imphash: af00c2cd3e1abe86ddbb239e27958d26

Кто сообщил: abuse_ch

Метки: exe, geo, ModiLoader, Rackspace, TUR

Статический анализ: на основе метаданных (образец не загружался)

ModiLoader — Профиль вредоносного ПО

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

Тип вредоносного ПО
Loader
Язык программирования
Delphi
C2 Протокол
HTTP
Целевые системы
Windows

Технические детали

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — ModiLoader
# FILEPATH 99af8a4532410841d87e0840619d50b8726e15ea0ab397fd1d8c6e32bb286486
ТипЗначениеПримечание
filepath 99af8a4532410841d87e0840619d50b8726e15ea0ab397fd1d8c6e32bb286486 PDB
Теги
exegeoModiLoaderRackspaceTUR