CMDPSDropper
CMD から PowerShell ドロッパーへ。 .cmd スクリプトでの Rgqvr ジャンク文字列の難読化。 vrstem.IO C2 に連絡します。 PowerShell を最小化して起動します。埋め込まれたbase64暗号化ペイロード。 InvokeExpression 構築のための文字列置換。
脅威プロファイル
タイプ
Loader
プログラミング言語CMD/PowerShell
C2プロトコルHTTPS
初回検出2024
標的
Küresel
目的 / 機能
- ドロッパー/ダウンローダー
C2サーバー 1
| アドレス | ポート | プロトコル | ステータス | 操作 |
|---|---|---|---|---|
vrstem.io
|
443 | HTTPS | INACTIVE |
⚠ C2アドレスは脅威インテリジェンスおよび防御目的でのみ共有されています。これらのアドレスへの不正アクセスは犯罪となります。
リサーチレポート (1)
CMDPSDropper lods.cmd -- vrstem.IO C2 Indirme Sunucusu, Rgqvr Junk String CMD Obfuskasyon Teknigi, WindowsPowerShell Minimize Gizli Baslama, Buyuk Base64 Sifrelenmis PS Payload Gomulu | Yuksek
CMDPSDropper lods.cmd ZIP 201KB. vrstem.IO C2. Rgqvr junk-string CMD obfuskasyon. WindowsPowerShell minimize gizli baslama. Buyuk base64 sifrelenmis PS payload gomulu.
レポートを読む →