Kimsuky の GoldDragon クラスタとその C2 オペレーション from securelist.com
security summary
悪意のあるドキュメントを配信するための C2 スクリプト (download.php)
$vbsserver = 」weworld59.myartsonline.com」;次の段階のサーバー
5. [who].txt ファイルが存在しない場合、それは被害者からの最初の要求であることを意味するため、スクリプトは IP アドレスを他のサーバー (VBS サーバー) に転送し、悪意のあるドキュメントを配信し、被害者の情報を日付、IP アドレス、ユーザー エージェントを含む [who].txt。
上記の IP 配信 GET リクエストの対応するスクリプト (index.php) を見ると、次のように動作します。
適切な被害者の IP アドレスを含む allow.txt ファイルは、別の C2 スクリプトによって参照され、着信要求が有効かどうか、次の段階のペイロードを配信するかどうかを確認します。
調査中に、自動実行用のペイロードを配信するための対応する C2 スクリプト ( s.php ) を発見しました。
コメント