(5a69d7e5)

威胁摘要
家族CoinMiner
威胁等级
PlatformC++ (XMRig tabanlı)
PackerTespit edilmedi
SHA2565a69d7e544366d516dca0903468a8c7d...
首次发现2026-06-29
检测方法MalwareBazaar + Amadey Loader zinciri
置信度MEDIUM

文件信息

属性
SHA2565a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
MD5cbc88849ffeab52cbd7ee94d3f562c3c
SHA1
文件名file (CoinMiner, Amadey dropped)
大小3,743,666 bytes
架构x64
编译日期未知
PackerTespit edilmedi
MB 首次发现2026-06-29
MB 标签exe, CoinMiner, 54e64e, dropped-by-amadey

威胁概况

家族: CoinMiner   分类:   置信度: MEDIUM

Bu örnek, Amadey Loader tarafından ikinci aşamada indirilen ve çalıştırılan bir CoinMiner ailesidir. 3.7 MB'lık büyük dosya boyutu, embedded XMRig binary veya mining konfigürasyonu içerdiğine işaret etmektedir. Monero (XMR) madenciliği için CPU kaynaklarını tüketir. "54e64e" ve "dropped-by-amadey" etiketleri, bu örneğin organize bir Amadey botnet kampanyasının parçası olduğunu göstermektedir. Stratum pool adresi statik analizde tespit edilemedi — büyük ihtimalle şifreli konfigürasyon dosyasında.

检测到的功能

  • CPU Madenciliği (Monero / XMR)
  • Stratum protokolü ile mining pool bağlantısı
  • CPU kullanım yönetimi (tespit kaçınma)
  • Persistence (autorun)
  • Anti-Debug kontrolleri

Anti-Analiz Teknikleri

  • CPU kullanımını ayarlayarak EDR tetikleyicilerinden kaçınma
  • Anti-Debug

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

Tip
sha2565a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
md5cbc88849ffeab52cbd7ee94d3f562c3c
domaine.mE
domaingcc.gnu.org
domainpastebin.com
domainT.dE
domainxmr-eu2.nanopool.org
domainzP.dE
domainzT.dE

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

CoinMiner — 恶意软件档案

CoinMiner kurbanin bilgisayar kaynaklarini CPU/GPU kripto para madenciligi icin kullanan malware ailesidir. Genellikle XMRig kullanir. Sahte yazilim paketleri ile yayilir.

恶意软件类型
Coinminer
编程语言
C/C++
C2协议
TCP
目标系统
Küresel

技术细节

XMRig tabanli (C++), stratum protocol, pool mining, process priority manipulation, antivirus/firewall bypass, watchdog process, process injection (svchost)

能力与行为

CPU/GPU Madenciliği
Kripto Para Üretimi
Kaynak Kullanımı
Kalıcılık
Anti-Analiz
Yayılma Mekanizması

IOC列表 (5 个指标)

IOC — CoinMiner
# SHA256 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048 # MD5 cbc88849ffeab52cbd7ee94d3f562c3c # DOMAIN gcc.gnu.org # DOMAIN pastebin.com # DOMAIN xmr-eu2.nanopool.org
类型备注
sha256 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
md5 cbc88849ffeab52cbd7ee94d3f562c3c
domain gcc.gnu.org
domain pastebin.com
domain xmr-eu2.nanopool.org
标签
coinminerxmrigmonerocryptominerpeanalizstatikiocamadeydropped