Manuel Statik Analiz — EvilNum (TA4563) | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 74329f3585df9b4ac4a0bc4476369dc08975201d7fc326b3c5a4f7d0e2b6c9f1 |
|---|---|
| 크기 | 1.585.220 byte (1.51MB) |
| String Sayisi | 5.454 |
shellrundll.tlb: COM Type Library — DLL Hijacking
COM KÖTÜYE KULLANIM: Type Library aracılığıyla DLL hijacking!
C:\Users\Administrator\Desktop\vaeeva\shellrundll.tlb -- "shellrundll" = Shell Run DLL (kabuk DLL çalıştırma) -- ".tlb" = Type Library (COM bileşen tanım dosyası) -- COM Type Library: meşru Windows COM kayıt mekanizması -- EvilNum: .tlb dosyasını kötü amaçlı DLL için COM kaydı olarak kullanır -- Kabuk DLL: explorer.exe veya başka süreçlere inject için -- "shellrundll.tlb" = doğrudan niyeti açıklayan isim (developer dikkat!)
vaeeva: Geliştirici Proje Klasörü PDB Yolu
C:\Users\Administrator\Desktop\vaeeva\shellrundll.tlb -- "vaeeva" = proje klasörü adı (kod adı?) - Ukrayna dili: "vaeeva" olası geçici proje kodu - TA4563: Orta Doğu finans sektörünü hedefleyen APT -- "Administrator\Desktop" = geliştirici admin hesabı kullandı -- Desktop'ta proje: güvenlik bilinci eksikliği -- EvilNum / TA4563: fintech ve kripto sektörü hedefli
IOC
| SHA256 | 74329f3585df9b4ac4a0bc4476369dc08975201d7fc326b3c5a4f7d0e2b6c9f1 |
|---|---|
| PDB | C:\Users\Administrator\Desktop\vaeeva\shellrundll.tlb |
EvilNum — 악성코드 프로필
EvilNum TA4563 APT. shellrundll.tlb COM type library DLL hijacking. vaeeva developer project PDB. Fintech/crypto targeting.
악성코드 유형
Backdoor
프로그래밍 언어
C/C++
C2 프로토콜
HTTP
대상 시스템
Avrupa/Fintech
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — EvilNum
# SHA256
74329f3585df9b4ac4a0bc4476369dc08975201d7fc326b3c5a4f7d0e2b6c9f1
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 74329f3585df9b4ac4a0bc4476369dc08975201d7fc326b3c5a4f7d0e2b6c9f1 |