VBSAESStager
Preparador de VBScript AES. coronofacial.Ru C2. Ofuscación a nivel de carácter delimitador de kiley. AES-CBC IV primeros 16 bytes del blob base64. Carga útil descifrada de Invoke-Expression. HKLM Ejecutar persistencia de claves.
Perfil de amenaza
Tipo
Loader
Lenguaje de programaciónVBScript
Protocolo C2HTTP
Primera detección2023
Objetivos
Küresel
Propósito / Capacidades
- Cargador/Etapador
Servidores C2 1
| Dirección | Puerto | Protocolo | Estado | Acción |
|---|---|---|---|---|
coronofacial.ru
|
80 | HTTP | INACTIVE |
⚠ Las direcciones C2 se comparten únicamente con fines de inteligencia de amenazas y defensa. El acceso no autorizado a estas direcciones constituye un delito.
Informes de investigación (1)
VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik
VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.
Leer informe →