Manuel Statik Analiz — LimeRAT | Tehdit: 보통

파일 Kimliği

SHA256940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
파일 이름kalyanonlinematkaapp.exe
크기399.872 byte (399KB)
String Sayisi362 (çok az — yoğun obfuskasyon)

Hindistan Kalyan Matka Kumar Lure

Bölgesel Hedefleme: Hint yasadışı kumar uygulaması kılığı!
kalyanonlinematkaapp.exe
-- "Kalyan" = Mumbai'nin Kalyan şehri (Hindistan)
-- "Matka" = Hint yasadışı piyango oyunu (çevrimiçi ve fiziksel)
-- "OnlineMatka" = yasadışı Matka çevrimiçi versiyonu
-- Kumar/piyango kullanıcılarını hedef alan Güney Asya kampanyası
-- Benzer hedefleme: LimeRAT'ın Hindistan odaklı kampanyaları

C2: Gambling Sitesi Domaininde Gizli

https://kalyanonlinematkaapp.in.net/tai-app-kubet/
-- .in.net = Hindistan (.in) TLD taklit + .net kombine (meşru değil)
-- "tai-app-kubet" = Taylandlı online casino "KUBET" uygulaması
-- Hem Hint hem Vietnam/Tayland kumar markaları bir arada!
-- Kumar sitesi domain'i C2 adresi olarak kullanılıyor

VM Tespiti

vmware        -- VMware sanal makine adı
\vboxhook.dll -- VirtualBox hook DLL kontrolü
-- İki farklı VM platformu tespit ediliyor

IOC

SHA256940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2kalyanonlinematkaapp.in.net
Lurekalyanonlinematkaapp.exe (Hint Kumar Uygulaması)

LimeRAT2 — 악성코드 프로필

LimeRAT 2019 .NET. kalyanonlinematkaapp.exe Hint Kalyan Matka kumar kılık. kubet C2. VM detect vmware+vboxhook.

악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
HTTP
대상 시스템
Güney Asya

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — LimeRAT2
# DOMAIN in.net
유형메모
domain in.net

C2 서버 (이 패밀리에 대해 1개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
kalyanonlinematkaapp.in.net domain 443 HTTPS active —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
limeratkalyanonlinematkaapp-exekalyan-matka-gambling-lureindia-gambling-appkubet-c2tai-app-kubetvmware-vbox-detectnetwork-credential