Manuel Statik Analiz — SocGholish JavaScript Stager | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2 |
|---|---|
| 크기 | 262 byte — İnsan gözüyle okunabilir JS stager! |
| String Sayisi | 1 (tek URL) |
Ele Geçirilmiş Web Sitesi — Seattle Mystery Lovers Kitabevi
Teknik: SocGholish meşru ve güvenilir web sitelerine enjekte ediliyor — kullanıcılar güvendikleri web sitelerini ziyaret ederek enfekte oluyor!
https://editions.seattlemysterylovers.com/I8l9JljrHk9H60cUFvxRBFHrRwRLqxNHRq4MU025Dkl -- seattlemysterylovers.com = gerçek Seattle Mystery Lovers kitabevi -- /editions/ alt dizininde zararlı JS enjekte edilmiş -- Rastgele görünen URL yolu = gizlenmiş payload endpoint -- 262 byte = minimal izlenimi bırakacak kadar küçük
SocGholish (FakeUpdates) Hakkında
SocGholish, TA569 tehdit aktörünün yönettiği drive-by download kampanyasıdır. Meşru web sitelerine zararlı JS enjekte eder ve kullanıcıya sahte "tarayıcı/yazılım güncellemesi" göstererek payload indirtir. WastedLocker ransomware ve BLISTER loader dağıtımında kullanılmıştır.
IOC
| SHA256 | 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2 |
|---|---|
| C2 | editions.seattlemysterylovers.com (ele geçirilmiş) |
| Aktör | TA569 / FakeUpdates |
SocGholish — 악성코드 프로필
SocGholish FakeUpdates 2017. seattlemysterylovers.com ele gecirilmis kitabevi. 262 byte stager. CMS inject.
악성코드 유형
Loader
프로그래밍 언어
JavaScript
C2 프로토콜
HTTPS
대상 시스템
Kuresel Web Tarayıcı
기능 및 동작
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC 목록 (1 개 지표)
IOC — SocGholish
# DOMAIN
seattlemysterylovers.com
| 유형 | 값 | 메모 |
|---|---|---|
| domain | seattlemysterylovers.com |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| seattlemysterylovers.com | domain | 443 | HTTPS | active | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.