Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

HotCroissant

HotCroissant is a remote access trojan (RAT) attributed by U.S. government entities to malicious North Korean government cyber activity, tracked collectively as HIDDEN COBRA.(Citation: US-CERT HOTCROISSANT February 2020) HotCroissant shares numerous code similarities with Rifdoor.(Citation: Carbon Black HotCroissant April 2020)
ID: S0431
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 01 May 2020
Last Modified: 11 Apr 2024

Techniques Used

Domain ID Name Use
Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

HotCroissant can remotely open applications on the infected host with the ShellExecuteA command.(Citation: Carbon Black HotCroissant April 2020)

Enterprise T1573 .001 Encrypted Channel: Symmetric Cryptography

HotCroissant has compressed network communications and encrypted them with a custom stream cipher.(Citation: Carbon Black HotCroissant April 2020)(Citation: US-CERT HOTCROISSANT February 2020)

Enterprise T1564 .003 Hide Artifacts: Hidden Window

HotCroissant has the ability to hide the window for operations performed on a given file.(Citation: Carbon Black HotCroissant April 2020)

Enterprise T1070 .004 Indicator Removal: File Deletion

HotCroissant has the ability to clean up installed files, delete files, and delete itself from the victim’s machine.(Citation: Carbon Black HotCroissant April 2020)

Enterprise T1027 .002 Obfuscated Files or Information: Software Packing

HotCroissant has used the open source UPX executable packer.(Citation: Carbon Black HotCroissant April 2020)

.013 Obfuscated Files or Information: Encrypted/Encoded File

HotCroissant has encrypted strings with single-byte XOR and base64 encoded RC4.(Citation: Carbon Black HotCroissant April 2020)

Enterprise T1053 .005 Scheduled Task/Job: Scheduled Task

HotCroissant has attempted to install a scheduled task named “Java Maintenance64” on startup to establish persistence.(Citation: Carbon Black HotCroissant April 2020)

Groups That Use This Software

ID Name References
G0032 Lazarus Group

(Citation: US-CERT HOTCROISSANT February 2020)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.