Manuel Statik Analiz — Conti Ransomware | Tehdit: KRITIK

파일 Kimliği

SHA256b70e78971fc44f84e3a2c6b9d5f1a8e4c7b0d3f6e9a2c5b8d1f4e7a0c3b6d9f2
파일 이름run-as-admin.exe
크기515.584 byte
String Sayisi2.078

Açık Metin C2 Adresleri

Kritik IOC: Açık metin Conti C2 domain adresleri tespit edildi!
http://mojobiden.com    -- Conti C2 domain #1 (cleartext)
http://paymenthacks.com -- Conti C2 domain #2 (cleartext)
https://mojobiden.com   -- HTTPS C2 varyantı
https://paymenthacks.com

TOR C2 Adresi

supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion
-- Conti TOR destek/ödeme portalı

Servis Durdurma

net stop wuauserv  -- Windows Update servisi durduruluyor (güvenlik güncellemesi engeli)

Conti Hakkında

Conti, 2020-2022 yılları arasında aktif olan en tehlikeli RaaS gruplarından biri olmuştur. 300+ fidye saldırısı, 150M+ USD hasara yol açmıştır. ABD'nin kritik altyapısını (Costa Rica hükümeti dahil) hedef almıştır. Mayıs 2022'de kaynak kodunun sızdırılmasının ardından operasyonlarını sonlandırmıştır. Sızıntı kodundan BlackBasta, Karakurt, BlackByte ve Meow Leaks türeşmiştir.

IOC

SHA256b70e78971fc44f84e3a2c6b9d5f1a8e4c7b0d3f6e9a2c5b8d1f4e7a0c3b6d9f2
C2mojobiden.com
C2paymenthacks.com
TORsupp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion

Conti2 — 악성코드 프로필

Conti Wizard Spider 2020 RaaS. run-as-admin.exe UAC. mojobiden.com+paymenthacks.com C2. supp24yy support onion. 2022 Conti Leaks.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
HTTPS/TOR
대상 시스템
Kritik Altyapi

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — Conti2
# SHA256 b70e78971fc44f84e3a2c6b9d5f1a8e4c7b0d3f6e9a2c5b8d1f4e7a0c3b6d9f2
유형메모
sha256 b70e78971fc44f84e3a2c6b9d5f1a8e4c7b0d3f6e9a2c5b8d1f4e7a0c3b6d9f2

C2 서버 (이 패밀리에 대해 5개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
mojobiden.com domain 443 HTTPS active —
mojobiden.com domain 80 HTTP active —
paymenthacks.com domain 443 HTTPS inactive —
paymenthacks.com domain 80 HTTP inactive —
supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion domain 80 HTTP inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
contiransomwaremojobidenpaymenthackstor-onionnet-stoprun-as-admin