해시 / 정보
SHA2567e2efc2689f5d93877689c72246a6a632e0f642e7e7f0874920455d7d2ecb612
MD5b0e54ddb1cbe04194b8101e35134b5d1
SHA19d241a56877d672a19b9dc0b3574d41486e57df2
ImpHashf34d5f2d4577ed6d9ceec516c1f5a744
파일 AdiAкт cвepки взaимopacчeтoв пo cocтoянию нa 24.06.2025 гoдa.pdf.exe
파일 형식exe
크기150,664 bytes
최초 발견2025-06-30

Tehdit 값lendirmesi

Bu ornek, hedef sisteme ek zararlı yazılım yuklemek amacıyla tasarlanmis moduler bir yukleyici (loader) olarak tespit edilmistir. Bankacılık trojanları, fidye yazılımları veya diger ikinci asama yukler indirebilmektedir.

탐지된 기능

  • Payload Indirme
  • Surec Enjeksiyonu
  • Kalicilik
  • Anti-Analiz
  • Sifrelenmis Iletisim

MalwareBazaar 태그

EmotetexeHeodo

분석 참고

Bu ornek Emotet ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

Emotet — 악성코드 프로필

Emotet (Heodo/Mealybug/TA542) 32-bit DLL payload. Process enumeration via CreateToolhelp32Snapshot+Process32First/Next. VirtualAlloc+VirtualProtect shellcode staging. ntdll.dll direct calls. Low entropy 3.92 (stage-1 loader/encoded payload). Suspicious imagebase and DOS stub.

악성코드 유형
Loader
프로그래밍 언어
C
C2 프로토콜
HTTP
대상 시스템
Windows
다른 이름 (AKA)
Heodo

기술 세부 정보

C dili, HTTP C2 (RSA+AES sifreleme), modular yapi (email stealer, spreader, Outlook harvester), process hollowing, living off the land (regsvr32, mshta, certutil), Epoch1/2/3/4/5 botnet

귀속 / 위협 행위자

TA542 (MUMMY SPIDER) - Ukrayna kokenli oldugu dusunulen organizasyon. 2021'de Europol/FBI tarafindan coguyla tutuklandi; 2022'de geri dondu.

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (2 개 지표)

IOC — Emotet
# SHA256 7e2efc2689f5d93877689c72246a6a632e0f642e7e7f0874920455d7d2ecb612 # MD5 b0e54ddb1cbe04194b8101e35134b5d1
유형메모
sha256 7e2efc2689f5d93877689c72246a6a632e0f642e7e7f0874920455d7d2ecb612
md5 b0e54ddb1cbe04194b8101e35134b5d1

C2 서버 (이 패밀리에 대해 7개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
41.216.188.11 ip 8000 HTTP active —
103.143.173.206 ip 443 HTTPS inactive ID
144.91.65.153 ip 7080 HTTP inactive DE
195.88.54.144 ip 8080 HTTP sinkholed —
103.43.46.149 ip 443 HTTPS sinkholed —
185.220.101.32 ip 80 HTTP sinkholed DE
5.135.183.154 ip 8080 HTTP sinkholed FR

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
EmotetexeHeodo