ModiLoader Анализ вредоносного ПО

Свойства файла

SHA256: d228e18c458c31492267b3167e1bde3b8702de493ea612d0ecf400835f490982

MD5: f3f28798bf7cc0bd1e1a44e3c956a253

Тип файла: exe

Размер: 1,002,496 byte

Первое обнаружение: 2022-04-13

Сигнатура AV: ModiLoader

Imphash: e70ebf13be6a24042d117ba668cc8eb8

Кто сообщил: GovCERT_CH

Метки: exe, ModiLoader, xloader

Статический анализ: на основе метаданных (образец не загружался)

ModiLoader — Профиль вредоносного ПО

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

Тип вредоносного ПО
Loader
Язык программирования
Delphi
C2 Протокол
HTTP
Целевые системы
Windows

Технические детали

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — ModiLoader
# FILEPATH d228e18c458c31492267b3167e1bde3b8702de493ea612d0ecf400835f490982
ТипЗначениеПримечание
filepath d228e18c458c31492267b3167e1bde3b8702de493ea612d0ecf400835f490982 PDB
Теги
exeModiLoaderxloader