Manuel Statik Analiz — AgentTesla | Tehdit: YUKSEK

파일 Kimliği

SHA256ad7b9eaa692cbfe61735168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
파일 이름.xls (Excel makro belgesi)
크기1.735.168 byte (1.7MB XLS)
String Sayisi8.078

SMTP Exfil Relay: ispgateway.de

Aktif Exfil Sunucusu: mx06.ispgateway.de (80.67.18.37)!
Received: from mx06.ispgateway.de (80.67.18.37) by
    by mx06.ispgateway.de with esmtps
-- AgentTesla çalınan verileri email ile saldırgana gönderiyor!
-- mx06.ispgateway.de = Almanya merkezli ISP SMTP relay
-- 80.67.18.37 = ispgateway.de sunucu IP'si
-- "Received: from" header'ı = kurban makinesinde oluşturulan email başlığı!
-- Bu string binary içinde hardcoded değil — AgentTesla'nın gönderdiği
  email'in Received header'ından kopyalandı → aktif kampanya kanıtı!

Excel XLS Makro Saldırısı

.xls (Excel 97-2003 eski format)
-- Eski XLS formatı: VBA makro desteği daha geniş
-- Office Protected View'ı daha kolay atlıyor
-- "Makroları etkinleştir" kandırma sosyal mühendislik
-- 1.7MB büyük XLS: gömülü payload/şifreli binary içeriyor

AgentTesla Hakkında

AgentTesla 2014'te 유형kiye merkezli yasal "izleme yazılımı" olarak başladı, hızla MaaS formatına döndü. Keylogger, ekran görüntüsü, tarayıcı/email/FTP kimlik bilgisi çalar. SMTP, FTP, Telegram, HTTP C2 üzerinden veri gönderir. Yüzlerce farklı email konusu ile dağıtılır: fatura, sipariş, gümrük bildirimi.

IOC

SHA256ad7b9eaa692cbfe61735168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Lure.xls Excel makro belgesi
SMTP Relaymx06.ispgateway.de (80.67.18.37)

AgentTesla7 — 악성코드 프로필

AgentTesla 2014 Turkiye MaaS. XLS makro dropper. mx06.ispgateway.de SMTP exfil. Keylogger+ekran+tarayici+FTP.

악성코드 유형
Infostealer
프로그래밍 언어
C#/.NET
C2 프로토콜
SMTP/FTP/Telegram
대상 시스템
Küresel Kurumsal

기능 및 동작

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC 목록 (1 개 지표)

IOC — AgentTesla7
# IP 80.67.18.37
유형메모
ip 80.67.18.37
태그
agentteslaxls-macro-droppermx06-ispgateway-de80-67-18-37-smtp-relaysmtp-exfiltrationgerman-smtp-relay-abusecredential-theft