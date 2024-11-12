Seit November 2024 hat IBM X-Force laufende Hive0145-Kampagnen verfolgt, bei denen die Malware Strela Stealer an Opfer in ganz Europa – vor allem in Spanien, Deutschland und der Ukraine – verteilt wurde. Die in diesen Kampagnen verwendeten Phishing-E-Mails sind echte Rechnungsbenachrichtigungen, die mithilfe zuvor gestohlener E-Mail-Zugangsdaten versendet wurden. Strela Stealer wurde entwickelt, um in Microsoft Outlook und Mozilla Thunderbird gespeicherte Benutzeranmeldedaten zu extrahieren. In den letzten 18 Monaten hat die Gruppe verschiedene Techniken getestet, um die Effektivität ihrer Arbeit zu verbessern. Hive0145 ist vermutlich ein finanziell motivierter Initial Access Broker (IAB), der seit Ende 2022 aktiv ist und möglicherweise der alleinige Betreiber von Strela Stealer ist. Das kontinuierliche operative Tempo der Kampagnen von Hive0145 verdeutlicht das erhöhte Risiko für potenzielle Opfer in ganz Europa.
Ab Mitte April 2023 begann X-Force, eine Zunahme der Hive0145-Aktivitäten zu verfolgen. Hive0145 ist wahrscheinlich ein finanziell motivierter Initial Access Broker (IAB) und möglicherweise der alleinige Betreiber von Strela Stealer. Strela Stealer ist eine Malware die dazu entwickelt wurde, Benutzer-E-Mail-Anmeldedaten aus Microsoft Outlook und Mozilla Thunderbird zu extrahieren, was potenziell zu einem Business Email Compromise (BEC) führen kann. IABs sammeln regelmäßig Anmeldedaten und andere Informationen, die an verbundene Bedrohungsakteure verkauft werden, die sich auf die Ausnutzung von Opfernetzwerken spezialisiert haben. Es ist jedoch weiterhin unklar, ob Hive0145 über ein spezifisches Partnernetzwerk verfügt, um den durch ihre Kampagnen gewonnenen Zugang zu vermarkten.
Im vergangenen Jahr hat Hive0145 seine Kompetenz bei der Weiterentwicklung von Taktiken, Techniken und Verfahren (TTPs) unter Beweis gestellt, um Opfer in ganz Europa anzugreifen. Opfer aus Italien, Spanien, Deutschland und der Ukraine erhalten weiterhin manipulierte Anhänge, die das Opfer dazu verleiten, die Datei zu öffnen. Die Betrüger präsentieren den Opfern gefälschte Rechnungen oder Quittungen und oft eine kurze, allgemeine Nachricht, in der sie die Opfer dringend zum Handeln auffordern. Beim Laden der angehängten Datei führt das Opfer unwissentlich die Infektionskette aus, die zur Malware „Strela Stealer“ führt.
Abbildung 1: E-Mail-Kampagne zum Thema Banco Santander
Hive0145 setzte dieses Vorgehen mit generischen Nachrichten und gefälschten Rechnungen und Belegen in der ersten Hälfte des Jahres 2024 fort. Anfang Juli 2024 verfolgte die Gruppe jedoch einen anderen Ansatz und begann, gestohlene E-Mails von realen Unternehmen aus den Bereichen Finanzen, Technologie, Fertigung, Medien, E-Commerce und anderen Branchen als Angriffsmittel einzusetzen. Die Abkehr von der Einfachheit deutet darauf hin, dass Hive0145 seine Funktionen im Bereich der Cyber-Operationen weiterentwickelt.
Im Juli 2024 stellte X-Force eine Änderung in der Mitte der Kampagne bei den von Hive0145 versendeten E-Mails fest: Die kurzen und allgemeinen Nachrichten wurden durch scheinbar legitime gestohlene E-Mails ersetzt. Die Phishing-E-Mails entsprachen genau den offiziellen Rechnungs-E-Mails und waren in einigen Fällen sogar direkt an die ursprünglichen Empfänger adressiert. X-Force konnte bestätigen, dass es sich bei den E-Mails tatsächlich um authentische Rechnungsbenachrichtigungen von verschiedenen Unternehmen aus den Bereichen Finanzen, Technologie, Fertigung, Medien, E-Commerce und anderen Branchen handelte. Es ist wahrscheinlich, dass die Gruppe die E-Mails mithilfe von Zugangsdaten beschafft hat, die sie zuvor im Rahmen früherer Kampagnen erbeutet hatte.
Das Konzept der Verwendung gestohlener E-Mails ist nicht neu. Es wurde in großem Umfang von der Emotet-Gruppe und Malware-Verteilern wie Hive0118 (auch bekannt als TA577), TA551 und TA570 genutzt. In ihren Kampagnen nutzten sie Thread-Hijacking, wobei neue Threads zu gestohlenen E-Mails verwendet wurden, um den Anschein von Legitimität zu verstärken. Die modifizierten E-Mails wurden an die entsprechenden Kontakte früherer Opfer gesendet, sodass die letzte E-Mail wie eine Antwort auf die gestohlene E-Mail aussah und so der E-Mail-Thread gekapert wurde. Der Text, den die Verteiler den E-Mails hinzufügen, besteht häufig aus kurzen Antworten, in denen die Opfer aufgefordert werden, sich die beigefügten Anhänge oder URLs anzusehen.
Die von Hive0145 verwendete Technik unterscheidet sich vom Thread-Hijacking darin, dass keine Antwortnachricht an die gestohlene E-Mail angehängt wird, sondern der ursprüngliche Inhalt weitgehend unverändert bleibt und lediglich der Anhang ausgetauscht wird, um eine schädliche Payload unter Verwendung des ursprünglichen Dateinamens (ohne die ursprüngliche Erweiterung) einzufügen. Im Text der E-Mail ersetzt Hive0145 außerdem sowohl den lokalen Teil als auch die Domain des ursprünglichen E-Mail-Absenders durch die des neuen Phishing-Opfers, um die E-Mail individuell anzupassen. Die E-Mails mit den manipulierten Anhängen werden anschließend im Rahmen von massiven Phishing-Kampagnen versendet. Hive0145 scheint die entführten E-Mails sorgfältig zu prüfen, indem es nur solche auswählt, die sich auf Rechnungen beziehen und Anhänge enthalten. X-Force beobachtet die Technik des Anhang-Hijackings seit Mitte 2024 in Kampagnen, die sich an deutschsprachige, spanischsprachige und ukrainischsprachige Personen richten.
Abbildung 2 Beispiel einer gestohlenen Original-E-Mail mit einer Rechnung der Deutschen Bahn und einem manipulierten Anhang
Die Juli-2024-Kampagne begann in der Woche vom 8. Juli mit einer geringen Anzahl von E-Mail-Zustellungen. Hive0145 schien eine kurze Pause einzulegen, bevor er in der Woche vom 22. Juli mit einer größeren Kampagne zurückkehrte, gefolgt von einer Phase der Inaktivität. Ab Mitte Oktober 2024 kehrte Hive0145 mit einer groß angelegten Kampagne zur Manipulation von Dateianhängen zurück, die sich an Opfer in Spanien, Deutschland und der Ukraine richtete. Anders als bei der kurzen Juli-Kampagne hat diese Kampagne weiterhin große Mengen von E-Mails verschickt, wobei die meisten an Wochentagen verschickt wurden.
Abbildung 3 Die laufende Kampagne Ende Oktober 2024
Gestohlene E-Mails aus den Bereichen Finanzen, Technologie, Fertigung, Medien, E-Commerce und anderen Branchen werden Anfang November 2024 weiterhin als Waffe eingesetzt, in einer der bisher größten beobachteten Hive0145-Kampagnen. Im Rahmen der laufenden Kampagne erhält das Opfer ein Archiv mit einer stark verschleierten JavaScript-Datei, die eine verschlüsselte Strela Stealer DLL herunterlädt und ausführt. Seit dem 7. November 2024 bezieht Hive0145 ukrainischsprachige Personen in die laufende Kampagne ein, was eine bedeutende Entwicklung im Vergleich zur zuvor beobachteten Viktimologie darstellt.
Abbildung 4 Beispiel für die ursprüngliche gestohlene E-Mail einer Rechnung, die an eine Person in der Ukraine gerichtet war
Das erhöhte Versandvolumen von Hive0145 durch die Verwendung von Anhang-Hijacking mit einer stetigen Zufuhr frisch gestohlener E-Mails könnte darauf hindeuten, dass die Gruppe Automatisierungsprozesse für das Sammeln, die Aufbereitung, das Verpacken und den Versand ihrer Phishing-E-Mails eingeführt hat. Die Gruppe zeigt weiterhin eine Präferenz für die weitverbreitete Ausbeutung spanischer, deutscher und ukrainischer Opfer in ganz Europa.
Hive0145 hebt sich von anderen Malware-Verteilern durch seine Bemühungen ab, immer ausgefeiltere Methoden zur Verbreitung von Strela Stealer einzusetzen. Der Grad der Komplexität spiegelt sich auch bei anderen erfolgreichen Massenverbreitern von Malware wie Emotet, Pikabot und Qakbot wider, die häufig zum Einsatz von Ransomware führten. Nachfolgend finden Sie eine Aufschlüsselung der bemerkenswerten Techniken, die Hive0145 im Laufe der Zeit eingesetzt hat, wobei einige kurzzeitig getestet und andere vollständig übernommen wurden.
Die ersten von X-Force beobachteten Strela-Stealer-Kampagnen nutzten polyglotte Dateien, wie erstmals in einem Blog der DCSO (Deutsche Cyber-Sicherheitsorganisation) Ende 2022 berichtet wurde. Diese Dateien haben mehrere gültige Formate und können von verschiedenen Anwendungen geparst werden. Die gleiche Datei könnte sowohl als HTML gerendert werden, um eine Scheinrechnung anzuzeigen, als auch als gültige DLL dienen, die Strela Stealer implementiert. Dies ist eine eher ungewöhnliche Technik, um Sicherheitslösungen zu umgehen.
Im Laufe des Jahres 2023 wurden in mehreren Kampagnen gültige Codesignaturzertifikate für die schädlichen Strela Stealer-Binärdateien verwendet. Beispielsweise enthielten Kampagnen, die sich an spanischsprachige Opfer richteten und bis April 2023 zurückreichen, Payloads mit einem gültigen Zertifikat, das von Tecfinance Informatica E Projetos De Sistemas Ltda, einem Softwareunternehmen in Brasilien, signiert wurde.
Abbildung 5 Zertifikat für brasilianische Unternehmen, das in Kampagnen im Jahr 2023 verwendet wird
Am 5. Mai 2024 hat X-Force die betroffenen Parteien über die Feststellung informiert, und das Zertifikat wurde seitdem widerrufen.
Es ist zu beachten, dass bei einer auf Italien ausgerichteten Kampagne Mitte 2023 ein anderes Zertifikat verwendet wurde:
Abbildung 6 Ein weiteres gestohlenes Zertifikat, das Mitte 2023 für Angriffe auf italienische Opfer verwendet wurde
Die Phishing-Kampagnen von Strela Stealer passten auch die Dateinamen an, um die Ziel-Domainnamen einzubeziehen. Die Dateinamen sind häufig identisch mit dem Namen der Organisation oder des Unternehmens, möglicherweise um Authentizität zu suggerieren. Das folgende Beispiel ist eine Phishing-E-Mail aus dem Jahr 2023, die sich als Rechnung oder Zahlungsbeleg ausgibt.
Abbildung 7 E-Mail-Kampagne mit Factura-Thema
Wie in der E-Mail angedeutet, handelt es sich bei den Anhängen um verschlüsselte ZIP-Dateien, wobei sich die Passwörter in jeder E-Mail leicht unterscheiden. Bedrohungsakteure verschlüsseln E-Mail-Anhänge, da grundlegende E-Mail-Filterung und Sandbox-Lösungen diese Dateien oft nicht inspizieren oder detonieren können.
Strela Stealer hat auch ungewöhnliche Erweiterungen für seine PE-ausführbaren Dateien verwendet, wie beispielsweise .com statt .exe:
Dies nutzt eine Bedingung in Microsoft Windows-Betriebssystemen, bei der drei verschiedene Erweiterungen verwendet werden können, um eine Datei als ausführbar zu markieren: .exe, .com, und .pif.
Handelt es sich bei dem Inhalt um eine ausführbare PE-Datei, wird diese von Microsoft Windows nach dem Öffnen automatisch ausgeführt. Durch die Verwendung eher ungewöhnlicher und unbekannter Erweiterungen kann die Kampagne einfache Antivirenlösungen oder den Verdacht des Opfers umgehen. Es wurde auch beobachtet, dass frühere Kampagnen mit der gleichen Payload die .pif- Erweiterung.
Neben direkt angehängten ZIP-Archiven mit den schädlichen ausführbaren Dateien verwenden Strela-Stealer-Kampagnen häufig auch verschleierte Skripte wie Batch, JavaScript oder PowerShell, um ihre Payload herunterzuladen oder abzulegen.
Die Kampagnen im Jahr 2024 basierten hauptsächlich auf diesen verschleierten Skripten, um einen PowerShell-Befehl auszuführen, der eine Verbindung zu einem WebDAV-Server herstellte und eine verschlüsselte DLL herunterlud und ausführte:
Die WebDAV-Staging-Server hosten eine große Anzahl von DLLs mit unterschiedlichen Namen und Hashes. Sie scheinen unter Verwendung eines Krypters gebaut worden zu sein, den X-Force als „Stellar Krypter“ identifiziert und der wahrscheinlich seit mindestens Mai 2023 ausschließlich von Hive0145 verwendet wird. Die als „Stellar Loader“ identifizierten schädlichen Binärdateien enthalten die verschlüsselte Strela Stealer-Payload.
Stellar Loader ist ein Verschlüsselungsprogramm, das seit mindestens April 2023 im Einsatz ist und vorwiegend als Vorläufer für Strela Stealer-Payloads dient. Stellar-Beispiele sind in der Regel stark verschleiert und nutzen Techniken wie die Verschleierung des Kontrollflusses. Sie enthalten eine große Menge an Junk-Anweisungen, um die Analyse und die Erstellung von Signaturen zu erschweren. Die Payload von Stellar wird mit XOR verschlüsselt und in der .data-Datei gespeichert. Abschnitt der Stellar-Loader-Binärdatei. Den verschlüsselten Nutzdaten geht der XOR-Schlüssel voraus, der in aktuellen Beispielen ausschließlich aus Groß- und Kleinbuchstaben besteht und Tausende von Zeichen lang sein kann.
Nach der Ausführung entschlüsselt Stellar Loader die Payloaddaten mit XOR und dem gespeicherten Schlüssel. Der Entschlüsselungsprozess kann auch eine zusätzliche Runde von XOR mit einem fest programmierten Einzelbyte-Schlüssel umfassen. Im Rahmen der Verschleierung des Stellar Loader-Codes wird der Entschlüsselungsalgorithmus innerhalb des Codes oft um Hunderte von Operationen erweitert. Allerdings heben sich die meisten dieser Operationen gegenseitig auf, und was wie ein komplexer Algorithmus aussieht, lässt sich auf eine einfache XOR-Operation reduzieren. Der Screenshot unten zeigt eine Version von Stellar Loader mit minimaler Verschleierung, bei der die Struktur des Loader-Codes und der Entschlüsselungsalgorithmus leicht zu erkennen sind.
In neueren Versionen des Loaders folgen auf die verschlüsselten Nutzdaten zusätzliche verschlüsselte Blöcke, die eine Liste der vom Ladeprogramm benötigten API-Namen enthalten, wie beispielsweise VirtualAlloc. Der Loader entschlüsselt diesen Block mit demselben Schlüssel wie die Payload, jedoch ohne das zusätzliche Einzelbyte-XOR. Der Loader kann dann die API-Namen im Block verwenden, um die entsprechenden API-Adressen abzurufen.
Sobald Payload und API-Liste entschlüsselt sind, weist Stellar mit VirtualAlloc Speicherplatz im Speicher zu und mappt die Payload-PE an der zugewiesenen Adresse. Anschließend werden die üblichen PE-Ladeschritte durchgeführt, wie das Laden der Importe und die Verarbeitung aller Relocation-Abschnitte (.relocs), und schließlich wird die Payload an ihrer Einstiegspunktadresse ausgeführt.
Die Funktionalität von Strela Stealer hat sich in den letzten zwei Jahren kaum verändert. Beginnend mit der ersten Version, über die DCSO Ende 2022 berichtete, besteht das Hauptziel des Stealers darin, E-Mail-Anmeldedaten von zwei gängigen E-Mail-Clients zu exfiltrieren: Microsoft Outlook und Thunderbird. Dies ist bei allen Varianten konsistent, jedoch unterstützt die neueste Variante mehr Registrierungsschlüssel zur Suche nach Microsoft Outlook-Anmeldedaten als frühere Versionen.
Strela Stealer führt zwei Funktionen aus, die mit dem Stehlen von Zugangsdaten von zwei E-Mail-Clients beauftragt sind:
E-Mail-Client
Thunderbird
Microsoft Outlook
Ort
Dateisystem
Registry
Pfad
%APPDATA%
%APPDATA%
SOFTWARE\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\
SOFTWARE\\Microsoft\\Office\\15.0\\Outlook\\Profiles\\Outlook\\
Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\9375CFF0413111d3B88A00104B2A6676
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows MessagingSubsystem\\Profiles\\Outlook\\
Für Outlook sucht Strela Stealer speziell nach den Registrierungswerten:
Die Daten werden formatiert und mit der Zeichenkette „FF“ bzw. „OL“ für Thunderbird- bzw. Outlook-Daten versehen. Anschließend wird es zusätzlich mit einem statischen XOR-Schlüssel verschlüsselt, der eine GUID-Zeichenkette wie die folgende darstellt:
Anschließend sendet Strela Stealer für jeden E-Mail-Client eine POST-Anfrage an seinen fest codierten C2-Server:
Die Antwort wird über denselben XOR-Schlüssel wie oben entschlüsselt. Strela Stealer sendet weiterhin POST-Anfragen in Intervallen von einer Sekunde, bis eine Anfrage fehlschlägt oder die Zeichenfolge „KH“ (Versionen 2023), „ANTIROK“ (Versionen 2024) oder „CHOLLIMA“ (Versionen Nov. 2024) zurückgegeben wird.
Ab Oktober 2024 umfasst Strela Stealer außerdem zwei weitere Exfiltrationsfunktionen. Das erste sammelt Systeminformationen auf dem Host und schreibt sie über den folgenden Befehl in eine Datei:
Die zweite Exfiltrationsfunktion verwendet COM-Objekte, um die Liste der installierten Anwendungen aus dem „AppsFolder“ (einem virtuellen Ordner, der als „Anwendungen“ angezeigt wird) auf dem Computer des Opfers aufzulisten.
Die abgelegte Datei sowie die Liste der installierten Anwendungen werden vor der Exfiltration auf die gleiche Weise wie die anderen gelesen und verschlüsselt. Sie werden mit den Identifikatoren „SI“ bzw. „LA“ an den C2-Server gesendet.
Strela Stealer begann, Sprachprüfungen zu implementieren, indem es die Tastatursprache auf dem Opfer-Host verifizierte. Die Versionen bis 2024 laufen nur auf Rechnern mit einer der folgenden Tastatursprachen:
Anfang November begann Hive0145 auch mit der Verbreitung gestohlener ukrainischer E-Mails und modifizierte die Logik der Sprachverifizierung leicht, indem es Ukrainisch (0x422) zur Liste der Tastaturlayouts hinzufügte. Darüber hinaus sind die Entwickler dazu übergegangen, die GetKeyboardLayoutList-API zu verwenden, um alle installierten Tastaturlayouts abzudecken. Sollte keine der Sprachen übereinstimmen, führt Strela Stealer eine sekundäre Überprüfung durch, bei der das Ergebnis der Standard-Locale des Benutzers aus GetLocaleInfoA mit „AU“ und „UA“ verglichen wird, den Codes für Australien und die Ukraine. Es ist möglich, dass der Entwickler sich hinsichtlich der Endianness des zurückgegebenen Werts nicht sicher war und nicht beabsichtigte, Australien anzusprechen. Insgesamt erhöhen diese Änderungen den Umfang der für eine Strela-Stealer-Infektion verfügbaren Maschinen.
Bisher zeigte die Malware dem Benutzer nach dem Start eine unauffällige Fehlermeldung an, um keinen Verdacht zu erregen. Es wird angezeigt, dass die Datei beschädigt ist und nicht geöffnet werden kann, wobei die Sprache von der installierten Tastatur abhängt. Die neuesten Versionen verwenden die allgemeinere Fehlermeldung „Err 100“, die 5 Sekunden nach Beginn der Ausführung angezeigt wird.
Im Juni 2023 beobachtete X-Force eine einzelne, auf Italien ausgerichtete Hive0145-Kampagne, die eine neue Strela Stealer-Variante lieferte, die komplett in .NET neu geschrieben wurde. Ähnlich wie bei früheren Kampagnen wurden auch hier gültige Code Signing-Zertifikate verwendet. Die erneute Implementierung von Malware in einer anderen Sprache zeugt von einem erheblichen Aufwand seitens des Bedrohungsakteurs. Um Strings, Funktionsnamen und Steuerfluss zu verbergen, nutzten die Entwickler den kommerziellen "Aldaray Rummage Obfuscator" für .NET. Der Screenshot unten zeigt den Code, der für den Zugriff auf IMAP-Anmeldeinformationen und die Aufhebung des Schutzes der IMAP-Anmeldeinformationen vor Microsoft Outlook-Registrierungsschlüsseln verwendet wird.
Bemerkenswert ist, dass der kommerzielle Obfuscator ein Wasserzeichen für die Lizenz enthält, das wie folgt lautet:
Das obige Beispiel zeigt die folgende Fehlermeldung in Italienisch an:
Hive0145 konzentriert sich auf das Sammeln von E-Mail-Zugangsdaten und unterscheidet sich damit von anderen Betreibern von Malware, die oft standardisiert sind und auf ein breiteres Spektrum von Zugangsdaten und Daten abzielen oder Folge-Nutzdaten für den Erstzugriff ermöglichen. Die Verwendung gestohlener E-Mails für das Hijacking von Anhängen durch Hive0145 ist ein Hinweis darauf, dass ein Teil der gestohlenen E-Mail-Anmeldedaten möglicherweise dazu verwendet wird, legitime E-Mails für die weitere Verbreitung zu sammeln. Sowohl gestohlene als auch von Schauspielern erstellte E-Mails, die von Hive0145 verwendet werden, haben überwiegend Rechnungen als Thema, was auf eine mögliche finanzielle Motivation hindeutet. Es besteht die Möglichkeit, dass Hive0145 gestohlene E-Mails an Partnerunternehmen verkauft, um weitere betrügerische E-Mails zu versenden.
Hive0145 ist ein sich schnell entwickelnder Bedrohungsakteur und versucht, Opfer zu infizieren, um gültige E-Mail-Anmeldedaten zu erlangen. Die Beobachtungen deuten darauf hin, dass der Diebstahl von E-Mail-Zugangsdaten durch anfängliche Kampagnen zu einem weiteren Diebstahl von gültigen E-Mails führte, die in nachfolgenden Attachment-Hijacking-Kampagnen verwendet wurden. Die Stela Stealer-Malware ist für Hive0145 weiterhin ein effektives Tool zum Extrahieren von E-Mail-Anmeldedaten.
Die Vielzahl der Branchen, denen die E-Mail-Kampagnen von Hive0145 nacheifern, erhöht das potenzielle Risiko, dass Unternehmen in ganz Europa ins Visier genommen werden. Bemerkenswert ist, dass Unternehmen in italienischsprachigen, spanischsprachigen, deutschsprachigen oder ukrainischsprachigen Regionen möglicherweise einem unmittelbareren Risiko einer Hive0145-Kampagne ausgesetzt sind. X-Force empfiehlt eine erhöhte Wachsamkeit bei eingegangenen E-Mail-Anhängen sowie eine sorgfältige reviews des erwarteten Dateityps.
X-Force empfiehlt Unternehmen:
Indikator
Art des Indikators
Kontext
03853c56bcfdf87d71ba
SHA256
Stellar Loader (Okt. 2024)
e50bea80513116a1988822
SHA256
Stellar Loader (Mai 2024)
2cac42735170cd3f67111807
SHA256
Stellar Loader – minimale Verschleierung (Jan 2024)
9a032497b82c3db8146cb6
SHA256
Strela Stealer Payload
e4a7ad38aaea4bd27c32c57
SHA256
Strela Stealer Payload
2f7ac330e100b577748bb34
SHA256
Stellar Loader (Nov. 2024)
94.159.113[.]48
IPv4
Strela Stealer C2
94.159.113[.]86
IPv4
Strela Stealer C2
193.109.85[.]231
IPv4
Strela Stealer C2
5906c8e683b8eb9d2bc104f
SHA256
Strela Stealer .NET-Variante
