VBSAESStager

VBScript AES-Staginger. koronofazial.Ru C2. Kiley-Trennzeichen-Verschleierung auf Zeichenebene. AES-CBC IV erste 16 Bytes aus Base64-Blob. Invoke-Expression entschlüsselte Nutzlast. HKLM Schlüsselpersistenz ausführen.

Bedrohungsprofil
Typ Loader
ProgrammierspracheVBScript
C2-ProtokollHTTP
Erstmals gesehen2023
Ziele Küresel
Zweck / Fähigkeiten
  • Lader/Staginger

C2-Server 1

Adresse Port Protokoll Status Aktion
coronofacial.ru
80 HTTP INACTIVE

⚠ C2-Adressen werden ausschließlich zu Threat-Intelligence- und Verteidigungszwecken geteilt. Unbefugter Zugriff auf diese Adressen ist strafbar.

Forschungsberichte (1)

Kritisch

VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik

VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.

Bericht lesen →