Manuel Statik Analiz — Cl0p Linux ELF | Tehdit: KRITIK

文件 Kimliği

SHA25609d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
文件名b6d2eae7413db11b4e6a8256ef.elf (Linux ELF binary!)
大小1.250.347 byte (1.25MB ELF)
String Sayisi5.726

Tor Onion C2 URL

Gerçek C2 URL Tespit Edildi:
http://6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/93868e7...
-- 62 karakter v3 Tor onion adresi
-- /remote0/ = birincil komuta kanalı endpoint'i
-- /93868e7... = kampanya/kurban kimlik hash'i

C2 Domainleri

inst.cc           -- .cc Cocos Adaları TLD, 6 karakter kısa domain
rsv-box.com       -- "RSV" prefix (rezervasyon?) ile .com
support-mult.com  -- "çoklu destek" sahte teknik destek

Linux Cl0p Hakkında

Cl0p (TA505), Rusya merkezli ileri düzey tehdit aktörü. Başlangıçta Windows ransomware iken 2023'te Linux ve VMware ESXi versiyonları eklendi. MOVEit Transfer zafiyetini (CVE-2023-34362) büyük çaplı fidye saldırılarında kullandı. Kurumsal Linux sunucularını hedefler. Tor tabanlı müzakere altyapısı.

IOC

SHA25609d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Tor C26v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/
C2inst.cc / rsv-box.com / support-mult.com

Cl0p2 — 恶意软件档案

Cl0p TA505 Rusya Linux ELF. inst.cc+rsv-box.com+support-mult.com C2. 62-char Tor onion. MOVEit CVE-2023-34362. VMware ESXi.

恶意软件类型
Ransomware
编程语言
C
C2协议
HTTPS/Tor
目标系统
Küresel Kurumsal

能力与行为

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC列表 (4 个指标)

IOC — Cl0p2
# DOMAIN 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion # DOMAIN inst.cc # DOMAIN rsv-box.com # DOMAIN support-mult.com
类型备注
domain 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion
domain inst.cc
domain rsv-box.com
domain support-mult.com

C2服务器 (该家族共有 3 台已记录服务器)

地址 类型 端口 协议 状态 国家
inst.cc domain 443 HTTPS active —
rsv-box.com domain 443 HTTPS inactive —
support-mult.com domain 443 HTTPS inactive —

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
cl0plinux-elftor-onion-c2inst-ccrsv-box-comsupport-mult-comlinux-ransomware62-char-onion