해시 / 정보
SHA256fa0aa80f70e12c3c54d8238292ccf6beebaac5fb870914a6f35cf7ede08e2c42
MD586c8bd42850c58af7b0ff07fa2cd2fdd
SHA16376b4f11c18ac5e64e335c2d217cf76a4ee8a8d
ImpHash68cbdf7501e2b92f31f624762e8a195b
파일 Adifa0aa80f70e12c3c54d8238292ccf6beebaac5fb870914a6f35cf7ede08e2c42
파일 형식exe
크기714,048 bytes
최초 발견2024-08-18

Tehdit 값lendirmesi

Bu ornek, hedef sisteme ek zararlı yazılım yuklemek amacıyla tasarlanmis moduler bir yukleyici (loader) olarak tespit edilmistir. Bankacılık trojanları, fidye yazılımları veya diger ikinci asama yukler indirebilmektedir.

탐지된 기능

  • Payload Indirme
  • Surec Enjeksiyonu
  • Kalicilik
  • Anti-Analiz
  • Sifrelenmis Iletisim

MalwareBazaar 태그

EmotetexeHeodoKUD LIMITEDsigned

분석 참고

Bu ornek Emotet ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

Emotet — 악성코드 프로필

Emotet (Heodo/Mealybug/TA542) 32-bit DLL payload. Process enumeration via CreateToolhelp32Snapshot+Process32First/Next. VirtualAlloc+VirtualProtect shellcode staging. ntdll.dll direct calls. Low entropy 3.92 (stage-1 loader/encoded payload). Suspicious imagebase and DOS stub.

악성코드 유형
Loader
프로그래밍 언어
C
C2 프로토콜
HTTP
대상 시스템
Windows
다른 이름 (AKA)
Heodo

기술 세부 정보

C dili, HTTP C2 (RSA+AES sifreleme), modular yapi (email stealer, spreader, Outlook harvester), process hollowing, living off the land (regsvr32, mshta, certutil), Epoch1/2/3/4/5 botnet

귀속 / 위협 행위자

TA542 (MUMMY SPIDER) - Ukrayna kokenli oldugu dusunulen organizasyon. 2021'de Europol/FBI tarafindan coguyla tutuklandi; 2022'de geri dondu.

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (2 개 지표)

IOC — Emotet
# SHA256 fa0aa80f70e12c3c54d8238292ccf6beebaac5fb870914a6f35cf7ede08e2c42 # MD5 86c8bd42850c58af7b0ff07fa2cd2fdd
유형메모
sha256 fa0aa80f70e12c3c54d8238292ccf6beebaac5fb870914a6f35cf7ede08e2c42
md5 86c8bd42850c58af7b0ff07fa2cd2fdd

C2 서버 (이 패밀리에 대해 7개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
41.216.188.11 ip 8000 HTTP active —
103.143.173.206 ip 443 HTTPS inactive ID
144.91.65.153 ip 7080 HTTP inactive DE
195.88.54.144 ip 8080 HTTP sinkholed —
103.43.46.149 ip 443 HTTPS sinkholed —
185.220.101.32 ip 80 HTTP sinkholed DE
5.135.183.154 ip 8080 HTTP sinkholed FR

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
EmotetexeHeodoKUD LIMITEDsigned