VBSAESStager

Stageur VBScript AES. coronofacial.Ru C2. obscurcissement au niveau des caractères du délimiteur kiley. AES-CBC IV premiers 16 octets à partir d’un blob base64. Charge utile déchiffrée par Invoke-Expression. HKLM Exécuter la persistance de la clé.

Profil de menace
Type Loader
Langage de programmationVBScript
Protocole C2HTTP
Première détection2023
Cibles Küresel
Objectif / Capacités
  • Chargeur/Stager

Serveurs C2 1

Adresse Port Protocole Statut Action
coronofacial.ru
80 HTTP INACTIVE

⚠ Les adresses C2 sont partagées uniquement à des fins de renseignement sur les menaces et de défense. Tout accès non autorisé à ces adresses constitue une infraction pénale.

Rapports de recherche (1)

Critique

VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik

VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.

Lire le rapport →