ModiLoader Анализ вредоносного ПО

Свойства файла

SHA256: edf6cd773544a6d4b4d26a9b8bbdd4fc2e00a095627541da04388152013dbf0d

MD5: 8fd6b81fcebf3d43c6afa57ca792b3ed

Тип файла: exe

Размер: 1,174,384 byte

Первое обнаружение: 2020-11-09

Сигнатура AV: ModiLoader

Imphash: a87d544438fee28f423c4b1fdfe9c7ef

Кто сообщил: abuse_ch

Метки: exe, ModiLoader, UPS

Статический анализ: на основе метаданных (образец не загружался)

ModiLoader — Профиль вредоносного ПО

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

Тип вредоносного ПО
Loader
Язык программирования
Delphi
C2 Протокол
HTTP
Целевые системы
Windows

Технические детали

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — ModiLoader
# FILEPATH edf6cd773544a6d4b4d26a9b8bbdd4fc2e00a095627541da04388152013dbf0d
ТипЗначениеПримечание
filepath edf6cd773544a6d4b4d26a9b8bbdd4fc2e00a095627541da04388152013dbf0d PDB
Теги
exeModiLoaderUPS