VBSAESStager
VBScript AES stager. coronofacial.Ru C2. kiley-delimiter character-level obfuscation. AES-CBC IV first-16-bytes from base64 blob. Invoke-Expression decrypted payload. HKLM Run key persistence.
Tehdit Profili
Tür
Loader
Yazılım DiliVBScript
C2 ProtokolüHTTP
İlk Görülme2023
Hedef Kitle
Küresel
Amaç / Yetenekler
- Loader/Stager
C2 Sunucuları 1
| Adres | Port | Protokol | Durum | Eylem |
|---|---|---|---|---|
coronofacial.ru
|
80 | HTTP | INACTIVE |
⚠ C2 adresleri yalnızca tehdit istihbaratı ve savunma amacıyla paylaşılmaktadır. Bu adreslere yetkisiz erişim yasal suç teşkil eder.
Araştırma Raporları (1)
VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik
VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.
Raporu Oku →