Manuel Statik Analiz — ModiLoader | Tehdit: 보통

파일 Kimliği

SHA256cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2
파일 이름TFG0890000001.exe (Lojistik Sevkiyat Kodu!)
크기1.662.445 byte (1.59MB)
String Sayisi26.962

TFG0890000001.exe: Lojistik Sevkiyat Kodu Lürü

TFG0890000001.exe
-- "TFG" = lojistik şirketi kodu veya fatura prefix
-- "0890000001" = 10 haneli seri numara (önde sıfırlar)
-- Format: [3 harf][10 rakam].exe = kurumsal belge formatı
-- Teslimat lürü: "sevkiyat belgesi", "nakliye irsaliyesi"
  - Lojistik sektörü çalışanları → TFG numaralı belgeler bekliyor
  - E-posta ekinde .exe → "belgeyi açmak için..." tuzağı

Microsoft.TeamFoundation.WorkItemTracking: Azure DevOps SDK Gömülü

OLAĞANDIŞI C2 KANAL: Azure DevOps work item'ları C2 iletişimi için kullanılıyor olabilir!
Microsoft.TeamFoundation.WorkItemTracking.Client
Microsoft.TeamFoundation.WorkItemTracking.Common
Microsoft.TeamFoundation.WorkItemTracking.Common.DataStore
Microsoft.TeamFoundation.WorkItemTracking.Common.Provision
WorkItemStore
WorkItemType
WorkItemTypeCollection
WorkItemLinkType
get_WorkItemTypes
LoadFieldIdsByWorkItemType
-- Team Foundation Server = Microsoft'un ALM/DevOps platformu
-- "WorkItemTracking" = proje yönetimi iş öğesi takip modülü
-- ModiLoader bu kütüphaneyi neden gömüyor?
  - Meşru trafik kanalı: Azure DevOps → şirket firewall'larından geçer!
  - C2 mekanizması: Azure DevOps work item'ları → komutlar oluşturuluyor
  - Kurban → Azure DevOps API → saldırgan controlled project
  - Bu teknik: BazarLoader'ın Google Docs kullanmasına benzer!
  - "WorkItemStore.Query()" = C2'den komut çekme olabilir

MySql.Data.MySqlClient: MySQL .NET Konnektörü

MySql.Data
MySqlConnection
MySql.Data.MySqlClient
-- MySQL .NET Connector gömülü!
-- Olası kullanım:
  1. Yerel veri kalıcılığı: çalınan kimlik bilgileri yerel DB'ye kaydediliyor
  2. Uzak MySQL C2: saldırganın MySQL sunucusuna doğrudan bağlanıyor
  3. Hedef ağda MySQL sunucu saldırısı
-- Azure DevOps + MySQL kombinasyonu → çift C2 kanalı:
  - Azure DevOps: komut alımı (meşru görünümlü)
  - MySQL: veri gönderimi (hızlı, şifreli değil ama direkt)

IOC

SHA256cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2
파일 이름TFG0890000001.exe

ModiLoader — 악성코드 프로필

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

악성코드 유형
Loader
프로그래밍 언어
Delphi
C2 프로토콜
HTTP
대상 시스템
Windows

기술 세부 정보

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (1 개 지표)

IOC — ModiLoader
# SHA256 cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
유형메모
sha256 cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
태그
modiloadermodi-loadertfg0890000001-exe-logistics-shipping-code-luremicrosoft-teamfoundation-workitemtracking-azure-devops-sdk-embeddedmysql-data-mysqlclient-mysql-connectionazure-devops-work-item-c2-channelmysql-net-connector-embedded