VBSAESStager
Stageur VBScript AES. coronofacial.Ru C2. obscurcissement au niveau des caractères du délimiteur kiley. AES-CBC IV premiers 16 octets à partir d’un blob base64. Charge utile déchiffrée par Invoke-Expression. HKLM Exécuter la persistance de la clé.
Profil de menace
Type
Loader
Langage de programmationVBScript
Protocole C2HTTP
Première détection2023
Cibles
Küresel
Objectif / Capacités
- Chargeur/Stager
Serveurs C2 1
| Adresse | Port | Protocole | Statut | Action |
|---|---|---|---|---|
coronofacial.ru
|
80 | HTTP | INACTIVE |
⚠ Les adresses C2 sont partagées uniquement à des fins de renseignement sur les menaces et de défense. Tout accès non autorisé à ces adresses constitue une infraction pénale.
Rapports de recherche (1)
VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik
VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.
Lire le rapport →