ModiLoader Анализ вредоносного ПО

Свойства файла

SHA256: c32dee06d3afee022d74b45536699ed2d6458d39dff35d4830cb9febecdb8143

MD5: 3dc09b272c666a298915d94e612f4763

Тип файла: exe

Размер: 845,288 byte

Первое обнаружение: 2021-03-31

Сигнатура AV: ModiLoader

Imphash: 85e119cf823c9c09d6a77972761f4a6b

Кто сообщил: abuse_ch

Метки: ESP, exe, geo, ModiLoader

Статический анализ: на основе метаданных (образец не загружался)

ModiLoader — Профиль вредоносного ПО

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

Тип вредоносного ПО
Loader
Язык программирования
Delphi
C2 Протокол
HTTP
Целевые системы
Windows

Технические детали

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — ModiLoader
# FILEPATH c32dee06d3afee022d74b45536699ed2d6458d39dff35d4830cb9febecdb8143
ТипЗначениеПримечание
filepath c32dee06d3afee022d74b45536699ed2d6458d39dff35d4830cb9febecdb8143 PDB
Теги
ESPexegeoModiLoader