IOC:
http://www.togsfortoads.com
http://www.popimart.xyz
http://www.kajainterior.com
http://www.heji88.hj-88.com
http://www.headzees.com
http://www.in-snoqualmievalley.com
http://www.365heji.com
http://www.h3lpr3.store
http://www.graciesvoice.info
http://www.femfirst.co.uk
http://www.cistonewhobeliev.xyz
http://www.allspaceinfo.com
http://www.baldur-power.com
http://www.ohotechnologies.com
http://www.carlosaranguiz.dev
http://www.iidethakur.xyz
http://www.huifeng-tech.com
8c2136e83f9526d3c44c0bb0bccc6cf242702b16
15DB79699DCEF4EB5D731108AAD6F97B2DC0EC9C
15DB79699DCEF4EB5D731108AAD6F97B2DC0EC9C
655D0B6F6570B5E07834AA2DD8211845B4B59200
BC47E15537FA7C32DFEFD23168D7E1741F8477ED
51582417D24EA3FEEBF441B8047E61CBE1BA2BF4
요약:
알렉산다르 밀렌코스키와 톰 헤겔
이그제큐티브 요약
SentinelLabs는 가상화된 클러스터를 관찰했습니다.악성 프로그램 공격을 통해 배포되는 NET 악성 프로그램 로더입니다.
MalVirt라고 불리는 로더는 프로세스를 종료하기 위해 윈도우 프로세스 탐색기 드라이버와 함께 안티 분석 및 회피를 위해 난독화된 가상화를 사용한다.
말버트 로더는 현재 진행 중인 캠페인의 일환으로 폼북 계열의 악성코드를 배포하고 있다.
실제 C2 트래픽을 위장하고 네트워크 탐지를 피하기 위해 이 멀웨어는 Azure, Tucows, Choopa 및 Namecheap을 포함한 다양한 호스팅 공급자에서 호스팅되는 C2 서버를 무작위로 유인합니다.
개요
SentinelLabs는 최근 악성 광고(악성 광고) 공격을 조사하는 동안 추세에 합류한 가상화된 악성 프로그램 로더 클러스터를 발견했다. 로더는 에 구현되어 있습니다.의 KoiVM 가상화 보호기를 기반으로 NET 및 가상화를 사용합니다.NET 응용 프로그램은 구현 및 실행을 난독화하기 위해 사용됩니다. 우리는 이러한 로더를 MalVirt(최근에 관찰되고 관련 가능성이 있는 구현을 KoiVM Loader라고 한다)라고 한다. KoiVM 가상화의 사용은 해킹 도구와 균열에 인기가 있지만 사이버 범죄 위협 행위자들이 사용하는 난독화 방식으로 종종 보이지 않는다.
MalVirt 로더가 배포하는 페이로드 중에서 우리는 작성 당시 진행 중인 캠페인의 일환으로 폼북 제품군의 인포스틸러 악성코드를 발견했다. MalVirt 로더를 통해 이 악성코드가 배포되는 것은 이례적으로 적용된 안티 분석 및 안티 탐지 기술이 특징이다.
악성 프로그램, Windows 바로 가기(LNK 파일), ISO 파일과 같은 Office 매크로에 대한 대체 악성 프로그램 배포 방법을 사용하는 위협 행위자의 현재 급증은 Microsoft가 인터넷 문서에서 기본 Office 매크로를 차단하는 것에 대한 대응으로 나타납니다. 악성 프로그램은 위협 행위자들 사이에서 현재 매우 인기 있는 악성 프로그램 전달 방법으로, signif...로 표시된다...
몰 버트 | .악성 광고 공격으로 번창하는 NET 가상화 - SentinelOne:
https://www.sentinelone.com/labs/malvirt-net-virtualization-thrives-in-malvertising-attacks/
