VBSAESStager

VBScript AES stager. coronofacial.Ru C2. kiley-delimiter character-level obfuscation. AES-CBC IV first-16-bytes from base64 blob. Invoke-Expression decrypted payload. HKLM Run key persistence.

Tehdit Profili
Tür Loader
Yazılım DiliVBScript
C2 ProtokolüHTTP
İlk Görülme2023
Hedef Kitle Küresel
Amaç / Yetenekler
  • Loader/Stager

C2 Sunucuları 1

Adres Port Protokol Durum Eylem
coronofacial.ru
80 HTTP INACTIVE

⚠ C2 adresleri yalnızca tehdit istihbaratı ve savunma amacıyla paylaşılmaktadır. Bu adreslere yetkisiz erişim yasal suç teşkil eder.

Araştırma Raporları (1)

Kritik

VBSAESStager -- coronofacial.Ru C2 Degisken OPSEC Hatasi, kiley Delimiter Karakter Seviyesi VBScript Obfuskasyonu, AES-CBC base64 IV Ilk 16 Byte PowerShell Sahne, Invoke-Expression Sifre Cozme Zinciri | Kritik

VBSAESStager 1457e5a3 1.4MB VBScript. coronofacial.Ru C2 degisken OPSEC hatasi. kiley delimiter karakter seviyesi obfuskasyon. AES-CBC IV ilk 16 byte PowerShell. Invoke-Expression sifre cozme.

Raporu Oku →