Manuel Statik Analiz — Squirrelwaffle Loader | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | ab0a3f2c0b0bace7541120b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 크기 | 541.120 byte |
| String Sayisi | 4.024 |
E-posta Thread Hijacking
Dağıtım: Squirrelwaffle, hedefin gerçek e-posta yazışmalarına cevap vererek yayılır — kurban tanıdık biriyle yazıştığını sanır!
Squirrelwaffle Hakkında
Squirrelwaffle, Eylül-Kasım 2021 arasında yoğun şekilde gözlemlenen yeni nesil email loader'dır. MS Office belgesi veya HTML e-posta ekiyle gelir. Özelliği: mevcut e-posta yazışmalarını ele geçirerek (thread hijacking) kurbanın güvendiği kişilerden geliyormuş gibi gösterir. Qakbot ve Cobalt Strike yükler. ProxyLogon/ProxyShell gibi Microsoft Exchange açıklarıyla da yayıldığı bilinmektedir.
IOC
| SHA256 | ab0a3f2c0b0bace7541120b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dağıtım | E-posta thread hijacking |
Squirrelwaffle — 악성코드 프로필
Squirrelwaffle 2021 email thread hijacking loader. Exchange ProxyLogon/ProxyShell. Qakbot+CS dropper.
악성코드 유형
Loader
프로그래밍 언어
C++
C2 프로토콜
HTTPS
대상 시스템
Kurumsal
기능 및 동작
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC 목록 (1 개 지표)
IOC — Squirrelwaffle
# SHA256
ab0a3f2c0b0bace7541120b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | ab0a3f2c0b0bace7541120b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=62 |