SvchostVNCInjector

Reflektierender Loader-Export + x64-DLL, der svchost.exe mit dem VNC-Modul (Vnc_MT) einfügt. Es wird über die MapDLL-Exportfunktion ausgeführt. svchost.exe wird mit CreateToolhelp32Snapshot gefunden und die DLL wird mit CreateFileMappingW + MapViewOfFile in den Speicher geladen. Cobalt Strike ähnelt der BOF-Architektur. Implantat mit Remote-Desktop-Zugriff (VNC).

Bedrohungsprofil
Typ RAT
ProgrammierspracheC/C++
C2-Protokollcustom
Erstmals gesehen2024
Ziele Kurumsal
Zweck / Fähigkeiten
  • Remotedesktop/Prozessinjektion/VNC
Für diese Familie wurden noch keine C2-Server identifiziert.

Forschungsberichte (1)

Kritisch

SvchostVNCInjector 16278643 -- ReflectiveLoader MapDLL VncMT svchost-inject CreateToolhelp32Snapshot Process32FirstW CreateFileMappingW MapViewOfFile IsWow64Process | Kritik

SvchostVNCInjector out.dll 439KB. Export: SvchostInjector.x64.dll::MapDLL. ReflectiveLoader. Vnc_MT. CreateToolhelp32Snapshot svchost.exe. MapViewOfFile. Cobalt Strike BOF benzeri.

Bericht lesen →