Manuel Statik Analiz (LLM Okumali) — AgentTesla — Lojistik BEC Spear-Phish | Tehdit: HIGH

파일 Kimligi

SHA256ad7b9eaa692cbfe6e256b632603baf378c58c06d5f742e55bc9b751b8c022e2f
FormatXLS (Excel belgesi) — malicious macro/JS ekli
크기1.735.168 byte (~1.65 MB)
KonuHava kargo sevkiyat belgesi (lojistik spear-phishing)
Ekshipping advice.JS — malicious JavaScript

C2 Altyapisi (SMTP Exfiltrasyon)

SMTP C2 (cleartext): SMTP:VENUS@IPLAM.COM.HK (kompromize edilmis hesap)
cm@kauf-park.de (ikinci exfiltrasyon alicisi)
SMTP C2 (birincil)venus@iplam.com.hk — kompromize edilmis IPLAM hesabi
SMTP C2 (ikincil)cm@kauf-park.de — Almanya tabanli yedek alici
SMTP Port2401 (non-standard SMTP)
FROM Domainsmtp.mailfrom=iplam.com.hk (kompromize edilmis hesapla gonderim)

Tehdit Vektoru - Lojistik BEC

Saldirgan, IPLAM.COM.HK (Hong Kong lojistik firmasinin) venus@iplam.com.hk hesabini kompromize ederek gercek bir hava kargo email zincirini ele gecirmis ve bu zincire malicious shipping advice.JS ekini ekleyerek hedef firmalara (UT Freight vs.) gonderimstir.
Hedef SektörLojistik / Nakliyat (Shipping & Freight)
Gonderici (Kompromize)michelleyen@utfreight.com (UT Freight Service Ltd Kaohsiung)
KonuRE: Air shpt - S/Standard Chem. C/UNILAB, Prozelax 200mcg capsule(4310017979), cargoes ready date: 30 June
MAWB297-61548675
HAWBUTKHH260016
RotalarCI 4923/30 TPE → CI 701/01 MNL (Tayvan-Filipinler hava kargo)
Kurban FirmalarUT Freight Service (KHH), Freight Facilitators (julie_FFC, ayeh_perez), KHH.SAAMG Pierce Huang

Saldiri Akisi

  1. Saldirgan venus@iplam.com.hk SMTP kimlik bilgilerini calar
  2. Gercek lojistik email zincirini okur (MAWB, HAWB, ucus bilgileri)
  3. Aslina sadik kopya olusturur, shipping advice.JS ekler
  4. Hedef alicilara gonderir (freightfacilitators.com, utfreight.com)
  5. Alici JS dosyasini calistirinca AgentTesla aktif olur
  6. Alinan veriler venus@iplam.com.hk adresine SMTP ile iletilir (port 2401)

IOC'lar

SHA256ad7b9eaa692cbfe6e256b632603baf378c58c06d5f742e55bc9b751b8c022e2f
SMTP C2 (1)venus@iplam.com.hk
SMTP C2 (2)cm@kauf-park.de
SMTP Port2401
Kompromize Domainiplam.com.hk
Attachmentshipping advice.JS

Nasil Kaldirilir?

  1. JS/Makro calistirmayin: beklenmedik .JS, .VBS, .XLS ekleri acilmasin
  2. SMTP engeli: Port 2401 uzerine gelen/giden baglantilari filtrele
  3. AgentTesla temizle: Startup, AppData ve Task Scheduler'i kontrol et
  4. Sifre degistir: Tum kurumsal sifreleri derhal degistir (Tesla sifre calar)
  5. IPLAM.COM.HK: Bu domainden gelen tum emailleri sekiz ile incele

Teknik Ozet

Bu ornek, AgentTesla gelismis bir BEC (Business Email Compromise) kampanyasinin parcasidur. Saldirgan, Hong Kong merkezli lojistik firmasinin (iplam.com.hk) email hesabini (venus@iplam.com.hk) kompromize ederek gercek bir hava kargo sevkiyat yazismasina malicious JavaScript eki (shipping advice.JS) eklemis ve nakliyat firmalarini hedef almistir. Cesyrilen veriler, port 2401 uzerinden SMTP ile kompromize edilmis hesap araciligiyla geri aktarilmaktadir.

AgentTesla — 악성코드 프로필

AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.

악성코드 유형
Infostealer
프로그래밍 언어
.NET
C2 프로토콜
SMTP/FTP
대상 시스템
Windows
다른 이름 (AKA)
Agent Tesla

기술 세부 정보

C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot

귀속 / 위협 행위자

Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.

기능 및 동작

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC 목록 (7 개 지표)

IOC — AgentTesla
# 2401 # shipping advice.JS # SHA256 ad7b9eaa692cbfe6e256b632603baf378c58c06d5f742e55bc9b751b8c022e2f # DOMAIN iplam.com.hk # DOMAIN kauf-park.de # EMAIL venus@iplam.com.hk # EMAIL cm@kauf-park.de
유형메모
2401
shipping advice.JS
sha256 ad7b9eaa692cbfe6e256b632603baf378c58c06d5f742e55bc9b751b8c022e2f
domain iplam.com.hk
domain kauf-park.de
email venus@iplam.com.hk
email cm@kauf-park.de

C2 서버 (이 패밀리에 대해 8개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
digicert.com domain — TCP active —
stem.ru domain — TCP active —
digicert.com domain — TCP active —
dublincore.org domain — TCP active —
googleapis.com domain — TCP active —
microsoft.com domain — TCP active —
freightfacilitators.com domain — TCP active —
digicert.com domain — TCP active —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
agentteslabecspear-phishsmtp-c2logisticsiplam-com-hkjavascriptxlsstatik-analiz