Manuel Statik Analiz — MassLogger HTA Dropper | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 71d86f769000ceee105b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8 |
|---|---|
| 파일 이름 | rckk8896011.hta (Windows HTML Application) |
| String Sayisi | 105 (minimal dropper) |
Sovyet .su Domain TLD Kullanımı
IOC: .su (Sovyet Birliği eski TLD) — genellikle Rusça konuşan siber suçlular tarafından kullanılır!
pentatomid.su -- .su TLD C2 domain #1 resented.su -- .su TLD C2 domain #2 -- "pentatomid" = böcek türü (Hemiptera/Pentatomidae) -- .su TLD = eski SSCB TLD, ICANN denetimsiz, siber suç tercihli
HTA Dropper Tekniği
HTA (HTML Application) dosyaları Windows'ta yönetici haklarıyla çalışabilir. JavaScript/VBScript içererek antivirüs tespitini zorlaştırır. MassLogger, çok sayıda uygulama hedef alan .NET credential stealer + keylogger ailesidir.
IOC
| SHA256 | 71d86f769000ceee105b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8 |
|---|---|
| C2 | pentatomid.su |
| C2 | resented.su |
MassLogger2 — 악성코드 프로필
MassLogger .NET 2020. QUOTATION REQUEST-DTC-9-PQD-0137.JS 4.4MB max obfuskasyon. Tedarik hedefleme.
악성코드 유형
Infostealer
프로그래밍 언어
C#/.NET
C2 프로토콜
HTTP/SMTP
대상 시스템
Kuresel
기능 및 동작
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC 목록 (2 개 지표)
IOC — MassLogger2
# DOMAIN
pentatomid.su
# DOMAIN
resented.su
| 유형 | 값 | 메모 |
|---|---|---|
| domain | pentatomid.su | |
| domain | resented.su |
C2 서버 (이 패밀리에 대해 2개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| pentatomid.su | domain | 443 | HTTPS | inactive | — |
| resented.su | domain | 443 | HTTPS | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.