VBSAESStager

"VBScript AES 스테이저. coronafacial.Ru C2. 킬리 구분 기호 문자 수준 난독화. AES-CBC IV base64 blob의 첫 번째 16바이트. Invoke-Expression의 암호 \u200b\u200b해독 페이로드입니다. HKLM 실행 키 지속성."

위협 프로필
유형 Loader
프로그래밍 언어VBScript
C2 프로토콜HTTP
첫 감지2023
대상 Küresel
목적 / 기능
  • 로더/스테이저

C2 서버 1

주소 포트 프로토콜 상태 작업
coronofacial.ru
80 HTTP INACTIVE

⚠ C2 주소는 위협 인텔리전스 및 방어 목적으로만 공유됩니다. 이 주소에 대한 무단 접근은 범죄입니다.

연구 보고서 (1)

심각

VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik

VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.

보고서 읽기 →