VBSAESStager
VBScript AES-Staginger. koronofazial.Ru C2. Kiley-Trennzeichen-Verschleierung auf Zeichenebene. AES-CBC IV erste 16 Bytes aus Base64-Blob. Invoke-Expression entschlüsselte Nutzlast. HKLM Schlüsselpersistenz ausführen.
Bedrohungsprofil
Typ
Loader
ProgrammierspracheVBScript
C2-ProtokollHTTP
Erstmals gesehen2023
Ziele
Küresel
Zweck / Fähigkeiten
- Lader/Staginger
C2-Server 1
| Adresse | Port | Protokoll | Status | Aktion |
|---|---|---|---|---|
coronofacial.ru
|
80 | HTTP | INACTIVE |
⚠ C2-Adressen werden ausschließlich zu Threat-Intelligence- und Verteidigungszwecken geteilt. Unbefugter Zugriff auf diese Adressen ist strafbar.
Forschungsberichte (1)
VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik
VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.
Bericht lesen →