Manuel Statik Analiz — Cl0p Linux ELF | Tehdit: KRITIK
文件 Kimliği
| SHA256 | 09d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 文件名 | b6d2eae7413db11b4e6a8256ef.elf (Linux ELF binary!) |
| 大小 | 1.250.347 byte (1.25MB ELF) |
| String Sayisi | 5.726 |
Tor Onion C2 URL
Gerçek C2 URL Tespit Edildi:
http://6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/93868e7... -- 62 karakter v3 Tor onion adresi -- /remote0/ = birincil komuta kanalı endpoint'i -- /93868e7... = kampanya/kurban kimlik hash'i
C2 Domainleri
inst.cc -- .cc Cocos Adaları TLD, 6 karakter kısa domain rsv-box.com -- "RSV" prefix (rezervasyon?) ile .com support-mult.com -- "çoklu destek" sahte teknik destek
Linux Cl0p Hakkında
Cl0p (TA505), Rusya merkezli ileri düzey tehdit aktörü. Başlangıçta Windows ransomware iken 2023'te Linux ve VMware ESXi versiyonları eklendi. MOVEit Transfer zafiyetini (CVE-2023-34362) büyük çaplı fidye saldırılarında kullandı. Kurumsal Linux sunucularını hedefler. Tor tabanlı müzakere altyapısı.
IOC
| SHA256 | 09d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Tor C2 | 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/ |
| C2 | inst.cc / rsv-box.com / support-mult.com |
Cl0p2 — 恶意软件档案
Cl0p TA505 Rusya Linux ELF. inst.cc+rsv-box.com+support-mult.com C2. 62-char Tor onion. MOVEit CVE-2023-34362. VMware ESXi.
恶意软件类型
Ransomware
编程语言
C
C2协议
HTTPS/Tor
目标系统
Küresel Kurumsal
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (4 个指标)
IOC — Cl0p2
# DOMAIN
6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion
# DOMAIN
inst.cc
# DOMAIN
rsv-box.com
# DOMAIN
support-mult.com
| 类型 | 值 | 备注 |
|---|---|---|
| domain | 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion | |
| domain | inst.cc | |
| domain | rsv-box.com | |
| domain | support-mult.com |
C2服务器 (该家族共有 3 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| inst.cc | domain | 443 | HTTPS | active | — |
| rsv-box.com | domain | 443 | HTTPS | inactive | — |
| support-mult.com | domain | 443 | HTTPS | inactive | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。