Manuel Statik Analiz — SocGholish | Tehdit: 中
文件 Kimliği
| SHA256 | 8f896f3f0b5f3341262b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0ab |
|---|---|
| 大小 | 262 byte (mini JavaScript stager!) |
| String Sayisi | 1 (tek string) |
Ele Geçirilmiş Meşru Website: Seattle Mystery Lovers
Watering Hole: Meşru kitapçı sitesi saldırı staging noktası!
https://editions.seattlemysterylovers.com/I8l9JljrHk9H60cUFvxRBFHrRwRLqxNHRq4MU025Dkl -- seattlemysterylovers.com = Seattle Mystery Lovers kitabevi (ABD) -- Meşru e-ticaret sitesi → saldırgan tarafından ele geçirildi -- editions.seattlemysterylovers.com = alt domain (özel koleksiyon) -- /I8l9JljrHk9H60cU... = 44 karakter rastgele token = kurban ID veya payload key -- Watering hole: site ziyaretçileri otomatik enfekte edilir -- 262 byte = JS stager → büyük payload seattlemysterylovers.com'dan alır
SocGholish Tekniği
SocGholish modus operandi: 1. Meşru CMS siteleri (WordPress, Joomla) ele geçirilir 2. Küçük JS stager sitedeki sayfaların içine enjekte edilir 3. Ziyaretçilere "tarayıcı güncelleme" sahte bildirimi gösterilir 4. İndirilen JS dosyası NetSupport RAT, Cobalt Strike yükler -- 262 byte: SocGholish'in en küçük örneklerinden biri
IOC
| SHA256 | 8f896f3f0b5f3341262b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0ab |
|---|---|
| Ele Geçirilmiş Site | seattlemysterylovers.com (Seattle kitabevi) |
| Stager URL | https://editions.seattlemysterylovers.com/I8l9JljrHk9H60cUFvxRBFHrRwRLqxNHRq4MU025Dkl |
SocGholish — 恶意软件档案
SocGholish FakeUpdates 2017. seattlemysterylovers.com ele gecirilmis kitabevi. 262 byte stager. CMS inject.
恶意软件类型
Loader
编程语言
JavaScript
C2协议
HTTPS
目标系统
Kuresel Web Tarayıcı
能力与行为
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC列表 (1 个指标)
IOC — SocGholish
# DOMAIN
seattlemysterylovers.com
| 类型 | 值 | 备注 |
|---|---|---|
| domain | seattlemysterylovers.com |
C2服务器 (该家族共有 1 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| seattlemysterylovers.com | domain | 443 | HTTPS | active | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。