Manuel Statik Analiz — Neshta Delphi File Infector | Tehdit: YUKSEK
文件 Kimliği
| SHA256 | d416b28fcf2591dc628224b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 文件名 | Shipping Invoice and PL.exe |
| 大小 | 628.224 byte |
| String Sayisi | 2.758 |
Kargo Faturası Tuzağı
Lure: "Shipping Invoice and PL" = Sevkiyat faturası ve paket listesi — lojistik sektör hedefi.
Sosyal Medya Dead Drop C2
Kritik Teknik: C2 komutları meşru sosyal medya sitelerinden çekiliyor!
http://45.media.tumblr.com/... -- Tumblr CDN üzerinden C2 payload! giphy.com -- Giphy (GIF platformu) dead drop C2 -- Meşru CDN trafiği ile karışarak network tespitinden kaçınma!
Neshta (Delphi File Infector) Hakkında
Neshta, Delphi ile yazılmış kalıcı dosya bulaştırıcısıdır. Sistemdeki .exe dosyalarını bularak kendini kopyalar. C&C iletişimi için sosyal medya CDN'lerini kullanması, network tabanlı tespiti zorlaştırır. Belarus kaynaklı olduğu değerlendirilmektedir.
IOC
| SHA256 | d416b28fcf2591dc628224b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dead Drop | Tumblr CDN, Giphy |
| Lure | Kargo fatura ZIP |
Neshta — 恶意软件档案
Neshta Delphi dosya enforktoru. 2006 Belarus. Delphi-the best mesajı. Light Tool gibi sahte utilitylerle dagitim. Polimorfik.
恶意软件类型
Other
编程语言
Delphi
C2协议
HTTP/CDN
目标系统
Kuresel
能力与行为
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC列表 (2 个指标)
IOC — Neshta
# DOMAIN
tumblr.com
# DOMAIN
giphy.com
| 类型 | 值 | 备注 |
|---|---|---|
| domain | tumblr.com | |
| domain | giphy.com |