VBSAESStager

VBScript AES 舞台。冠状面。Ru C2。 kiley-delimiter 字符级混淆。来自 base64 blob 的 AES-CBC IV 前 16 个字节。 Invoke-Expression 解密的有效负载。 HKLM 运行密钥持久化。

威胁档案
类型 Loader
编程语言VBScript
C2协议HTTP
首次发现2023
目标 Küresel
用途 / 能力
  • 装载机/载物台

C2服务器 1

地址 端口 协议 状态 操作
coronofacial.ru
80 HTTP INACTIVE

⚠ C2 地址仅用于威胁情报和防御目的。未经授权访问这些地址属于违法行为。

研究报告 (1)

严重

VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik

VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.

阅读报告 →