Manuel Statik Analiz — Neshta Delphi File Infector | Tehdit: YUKSEK

파일 Kimliği

SHA256d416b28fcf2591dc628224b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
파일 이름Shipping Invoice and PL.exe
크기628.224 byte
String Sayisi2.758

Kargo Faturası Tuzağı

Lure: "Shipping Invoice and PL" = Sevkiyat faturası ve paket listesi — lojistik sektör hedefi.

Sosyal Medya Dead Drop C2

Kritik Teknik: C2 komutları meşru sosyal medya sitelerinden çekiliyor!
http://45.media.tumblr.com/...  -- Tumblr CDN üzerinden C2 payload!
giphy.com                        -- Giphy (GIF platformu) dead drop C2
-- Meşru CDN trafiği ile karışarak network tespitinden kaçınma!

Neshta (Delphi File Infector) Hakkında

Neshta, Delphi ile yazılmış kalıcı dosya bulaştırıcısıdır. Sistemdeki .exe dosyalarını bularak kendini kopyalar. C&C iletişimi için sosyal medya CDN'lerini kullanması, network tabanlı tespiti zorlaştırır. Belarus kaynaklı olduğu değerlendirilmektedir.

IOC

SHA256d416b28fcf2591dc628224b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dead DropTumblr CDN, Giphy
LureKargo fatura ZIP

Neshta — 악성코드 프로필

Neshta Delphi dosya enforktoru. 2006 Belarus. Delphi-the best mesajı. Light Tool gibi sahte utilitylerle dagitim. Polimorfik.

악성코드 유형
Other
프로그래밍 언어
Delphi
C2 프로토콜
HTTP/CDN
대상 시스템
Kuresel

기능 및 동작

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC 목록 (2 개 지표)

IOC — Neshta
# DOMAIN tumblr.com # DOMAIN giphy.com
유형메모
domain tumblr.com
domain giphy.com
태그
neshtadelphifile-infectortumblr-c2giphy-deadropsocial-media-c2dead-drop