VBSAESStager
Estágio VBScript AES. coronofacial.Ru C2. ofuscação em nível de caractere delimitador kiley. Primeiros 16 bytes AES-CBC IV do blob base64. Carga útil descriptografada por Invoke-Expression. HKLM Execute persistência de chave.
Perfil de ameaça
Tipo
Loader
Linguagem de programaçãoVBScript
Protocolo C2HTTP
Primeira detecção2023
Alvos
Küresel
Propósito / Capacidades
- Carregador/Etapador
Servidores C2 1
| Endereço | Porta | Protocolo | Status | Ação |
|---|---|---|---|---|
coronofacial.ru
|
80 | HTTP | INACTIVE |
⚠ Os endereços C2 são compartilhados exclusivamente para fins de inteligência de ameaças e defesa. O acesso não autorizado a esses endereços constitui crime.
Relatórios de pesquisa (1)
VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik
VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.
Ler relatório →