VBSAESStager

VBScript AES ステージャー。コロナフェイシャル.Ru C2。 kiley-delimiter 文字レベルの難読化。 AES-CBC IV、base64 BLOB の最初の 16 バイト。 Invoke-Expression の復号化されたペイロード。 HKLM 実行キーの永続化。

脅威プロファイル
タイプ Loader
プログラミング言語VBScript
C2プロトコルHTTP
初回検出2023
標的 Küresel
目的 / 機能
  • ローダー/ステージャー

C2サーバー 1

アドレス ポート プロトコル ステータス 操作
coronofacial.ru
80 HTTP INACTIVE

⚠ C2アドレスは脅威インテリジェンスおよび防御目的でのみ共有されています。これらのアドレスへの不正アクセスは犯罪となります。

リサーチレポート (1)

重大

VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik

VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.

レポートを読む →