해시 / 정보
SHA256fe974cd55e593d754c3dca74db62bc2fb48f9144c7098eedcf3b9abad1fe05e2
MD548ad0ffe0b3209700f2b2d73cf2777dc
SHA13121376a415eec170669e98a30a7d473dda526db
ImpHash6b98f7957115ab6801127ef9215878fd
파일 Adifaktura_202003_3817449.pdf.exe
파일 형식exe
크기1,304,576 bytes
최초 발견2020-03-31

Tehdit 값lendirmesi

Bu ornek, saldırganlara ele gecirilen sistemler uzerinde tam uzaktan kontrol imkani sunan bir RAT (Uzaktan Erisim Trojanı) olarak tespit edilmistir. Keylogging, ekran goruntüsü alma, dosya yonetimi ve kabuk erisimi gibi kapsamlı gozetleme yeteneklerine sahiptir.

탐지된 기능

  • Uzaktan Erisim
  • Keylogging
  • Ekran Goruntüsü
  • 파일 Yonetimi
  • Kabuk Erisimi

MalwareBazaar 태그

avemariaAveMariaRATexe

분석 참고

Bu ornek WarzoneRAT ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

WarzoneRAT — 악성코드 프로필

WarzoneRAT Ave Maria RAT. 2026 itibariyla aktif. Tarih prefixli dagitim. Config karması 45A06E. Uclu anti-debug.

악성코드 유형
RAT
프로그래밍 언어
C++
C2 프로토콜
TCP
대상 시스템
Windows
다른 이름 (AKA)
Ave Maria

기술 세부 정보

C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli

귀속 / 위협 행위자

Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (6 개 지표)

IOC — WarzoneRAT
# SHA256 fe974cd55e593d754c3dca74db62bc2fb48f9144c7098eedcf3b9abad1fe05e2 # MD5 48ad0ffe0b3209700f2b2d73cf2777dc # IP 185.216.36.143 # DOMAIN cloudflareprotected.xyz # MUTEX WarZone160Mutex # REGISTRY HKCUSoftwareMicrosoftWindowsCurrentVersionRunWarzoneRAT
유형메모
sha256 fe974cd55e593d754c3dca74db62bc2fb48f9144c7098eedcf3b9abad1fe05e2
md5 48ad0ffe0b3209700f2b2d73cf2777dc
ip 185.216.36.143 C2:4500
domain cloudflareprotected.xyz C2:5200
mutex WarZone160Mutex WarzoneRAT v1.60 mutex
registry HKCUSoftwareMicrosoftWindowsCurrentVersionRunWarzoneRAT WarzoneRAT Run key

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
185.216.36.143 ip 4500 TCP inactive BG
cloudflareprotected.xyz domain 5200 TCP inactive RU

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
avemariaAveMariaRATexe