Manuel Statik Analiz — ModiLoader | Tehdit:

文件 Kimliği

SHA256cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2
文件名TFG0890000001.exe (Lojistik Sevkiyat Kodu!)
大小1.662.445 byte (1.59MB)
String Sayisi26.962

TFG0890000001.exe: Lojistik Sevkiyat Kodu Lürü

TFG0890000001.exe
-- "TFG" = lojistik şirketi kodu veya fatura prefix
-- "0890000001" = 10 haneli seri numara (önde sıfırlar)
-- Format: [3 harf][10 rakam].exe = kurumsal belge formatı
-- Teslimat lürü: "sevkiyat belgesi", "nakliye irsaliyesi"
  - Lojistik sektörü çalışanları → TFG numaralı belgeler bekliyor
  - E-posta ekinde .exe → "belgeyi açmak için..." tuzağı

Microsoft.TeamFoundation.WorkItemTracking: Azure DevOps SDK Gömülü

OLAĞANDIŞI C2 KANAL: Azure DevOps work item'ları C2 iletişimi için kullanılıyor olabilir!
Microsoft.TeamFoundation.WorkItemTracking.Client
Microsoft.TeamFoundation.WorkItemTracking.Common
Microsoft.TeamFoundation.WorkItemTracking.Common.DataStore
Microsoft.TeamFoundation.WorkItemTracking.Common.Provision
WorkItemStore
WorkItemType
WorkItemTypeCollection
WorkItemLinkType
get_WorkItemTypes
LoadFieldIdsByWorkItemType
-- Team Foundation Server = Microsoft'un ALM/DevOps platformu
-- "WorkItemTracking" = proje yönetimi iş öğesi takip modülü
-- ModiLoader bu kütüphaneyi neden gömüyor?
  - Meşru trafik kanalı: Azure DevOps → şirket firewall'larından geçer!
  - C2 mekanizması: Azure DevOps work item'ları → komutlar oluşturuluyor
  - Kurban → Azure DevOps API → saldırgan controlled project
  - Bu teknik: BazarLoader'ın Google Docs kullanmasına benzer!
  - "WorkItemStore.Query()" = C2'den komut çekme olabilir

MySql.Data.MySqlClient: MySQL .NET Konnektörü

MySql.Data
MySqlConnection
MySql.Data.MySqlClient
-- MySQL .NET Connector gömülü!
-- Olası kullanım:
  1. Yerel veri kalıcılığı: çalınan kimlik bilgileri yerel DB'ye kaydediliyor
  2. Uzak MySQL C2: saldırganın MySQL sunucusuna doğrudan bağlanıyor
  3. Hedef ağda MySQL sunucu saldırısı
-- Azure DevOps + MySQL kombinasyonu → çift C2 kanalı:
  - Azure DevOps: komut alımı (meşru görünümlü)
  - MySQL: veri gönderimi (hızlı, şifreli değil ama direkt)

IOC

SHA256cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2
文件名TFG0890000001.exe

ModiLoader — 恶意软件档案

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

恶意软件类型
Loader
编程语言
Delphi
C2协议
HTTP
目标系统
Windows

技术细节

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

能力与行为

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC列表 (1 个指标)

IOC — ModiLoader
# SHA256 cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
类型备注
sha256 cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
标签
modiloadermodi-loadertfg0890000001-exe-logistics-shipping-code-luremicrosoft-teamfoundation-workitemtracking-azure-devops-sdk-embeddedmysql-data-mysqlclient-mysql-connectionazure-devops-work-item-c2-channelmysql-net-connector-embedded