SvchostVNCInjector
Exportación de reflectanteLoader + DLL x64 inyectando svchost.exe con módulo VNC (Vnc_MT). Se ejecuta a través de la función de exportación MapDLL. svchost.exe se encuentra con CreateToolhelp32Snapshot y la DLL se carga en la memoria con CreateFileMappingW + MapViewOfFile. Cobalt Strike se parece a la arquitectura BOF. Implante que proporciona acceso a escritorio remoto (VNC).
Perfil de amenaza
Tipo
RAT
Lenguaje de programaciónC/C++
Protocolo C2custom
Primera detección2024
Objetivos
Kurumsal
Propósito / Capacidades
- Escritorio remoto/Inyección de procesos/VNC
Aún no se han identificado servidores C2 para esta familia.
Informes de investigación (1)
SvchostVNCInjector 16278643 -- ReflectiveLoader MapDLL VncMT svchost-inject CreateToolhelp32Snapshot Process32FirstW CreateFileMappingW MapViewOfFile IsWow64Process | Kritik
SvchostVNCInjector out.dll 439KB. Export: SvchostInjector.x64.dll::MapDLL. ReflectiveLoader. Vnc_MT. CreateToolhelp32Snapshot svchost.exe. MapViewOfFile. Cobalt Strike BOF benzeri.
Leer informe →