VBSAESStager

Estágio VBScript AES. coronofacial.Ru C2. ofuscação em nível de caractere delimitador kiley. Primeiros 16 bytes AES-CBC IV do blob base64. Carga útil descriptografada por Invoke-Expression. HKLM Execute persistência de chave.

Perfil de ameaça
Tipo Loader
Linguagem de programaçãoVBScript
Protocolo C2HTTP
Primeira detecção2023
Alvos Küresel
Propósito / Capacidades
  • Carregador/Etapador

Servidores C2 1

Endereço Porta Protocolo Status Ação
coronofacial.ru
80 HTTP INACTIVE

⚠ Os endereços C2 são compartilhados exclusivamente para fins de inteligência de ameaças e defesa. O acesso não autorizado a esses endereços constitui crime.

Relatórios de pesquisa (1)

Crítico

VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik

VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.

Ler relatório →