VBSAESStager

Preparador de VBScript AES. coronofacial.Ru C2. Ofuscación a nivel de carácter delimitador de kiley. AES-CBC IV primeros 16 bytes del blob base64. Carga útil descifrada de Invoke-Expression. HKLM Ejecutar persistencia de claves.

Perfil de amenaza
Tipo Loader
Lenguaje de programaciónVBScript
Protocolo C2HTTP
Primera detección2023
Objetivos Küresel
Propósito / Capacidades
  • Cargador/Etapador

Servidores C2 1

Dirección Puerto Protocolo Estado Acción
coronofacial.ru
80 HTTP INACTIVE

⚠ Las direcciones C2 se comparten únicamente con fines de inteligencia de amenazas y defensa. El acceso no autorizado a estas direcciones constituye un delito.

Informes de investigación (1)

Crítico

VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik

VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.

Leer informe →