Manuel Statik Analiz — Cl0p Linux ELF | Tehdit: KRITIK

파일 Kimliği

SHA25609d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
파일 이름b6d2eae7413db11b4e6a8256ef.elf (Linux ELF binary!)
크기1.250.347 byte (1.25MB ELF)
String Sayisi5.726

Tor Onion C2 URL

Gerçek C2 URL Tespit Edildi:
http://6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/93868e7...
-- 62 karakter v3 Tor onion adresi
-- /remote0/ = birincil komuta kanalı endpoint'i
-- /93868e7... = kampanya/kurban kimlik hash'i

C2 Domainleri

inst.cc           -- .cc Cocos Adaları TLD, 6 karakter kısa domain
rsv-box.com       -- "RSV" prefix (rezervasyon?) ile .com
support-mult.com  -- "çoklu destek" sahte teknik destek

Linux Cl0p Hakkında

Cl0p (TA505), Rusya merkezli ileri düzey tehdit aktörü. Başlangıçta Windows ransomware iken 2023'te Linux ve VMware ESXi versiyonları eklendi. MOVEit Transfer zafiyetini (CVE-2023-34362) büyük çaplı fidye saldırılarında kullandı. Kurumsal Linux sunucularını hedefler. Tor tabanlı müzakere altyapısı.

IOC

SHA25609d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Tor C26v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/
C2inst.cc / rsv-box.com / support-mult.com

Cl0p2 — 악성코드 프로필

Cl0p TA505 Rusya Linux ELF. inst.cc+rsv-box.com+support-mult.com C2. 62-char Tor onion. MOVEit CVE-2023-34362. VMware ESXi.

악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
HTTPS/Tor
대상 시스템
Küresel Kurumsal

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (4 개 지표)

IOC — Cl0p2
# DOMAIN 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion # DOMAIN inst.cc # DOMAIN rsv-box.com # DOMAIN support-mult.com
유형메모
domain 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion
domain inst.cc
domain rsv-box.com
domain support-mult.com

C2 서버 (이 패밀리에 대해 3개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
inst.cc domain 443 HTTPS active —
rsv-box.com domain 443 HTTPS inactive —
support-mult.com domain 443 HTTPS inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
cl0plinux-elftor-onion-c2inst-ccrsv-box-comsupport-mult-comlinux-ransomware62-char-onion