WTSSessionHijacker

Herramienta de secuestro de sesiones RDP/WTS que utiliza la API de Servicios de Terminal Server de Windows (wtsapi32.dll). Enumera todas las sesiones RDP (WTSEnumerateSessionsW), roba tokens de usuario (WTSQueryUserToken), realiza un inicio de sesión basado en credenciales (LogonUserW) y escala a través de authz.dll (AuthzAddSidsToContext). Borra registros de eventos (ClearEventLogA) y puede controlar servicios (ControlService). Carga útil .rsrc cifrada de 300 KB descifrada en runt

Perfil de amenaza
Tipo RAT
Lenguaje de programaciónC/C++
Protocolo C2custom
Primera detección2024
Objetivos Kuresel/Kurumsal
Propósito / Capacidades
  • Secuestro de RDP/movimiento lateral
Aún no se han identificado servidores C2 para esta familia.

Informes de investigación (1)

Alto

WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek

WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.

Leer informe →