Manuel Statik Analiz — Turla APT (FSB / Rusya) | Tehdit: KRITIK
文件 Kimliği
| SHA256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 大小 | 1.985.024 byte |
| String Sayisi | 691 — son derece şifreli! |
DGA Kelime Zinciri
Nawuya.De -- .de Almanya TLD (zararsız görünüm) -- Turla'nın tipik DGA yaklaşımı: kelime tabanlı domain -- Config string: "Nawuya.De tikajucucehok kaxoz puladaz sunimo yifavend Wuroroxer janimawo duxavicihive" -- Kelime zinciri = DGA "seed" materyali -- Kurgusal Slavca/Latin kökenli kelimeler
Turla APT Hakkında
Turla (Snake, Uroburos, Venomous Bear), Rusya FSB'nin 8. Merkezi'ne atfedilen APT grubudur. 1996'dan beri aktif — dünyanın en eski siber istihbarat operasyonlarından biri. Snake rootkit, Kazuar backdoor, ComRAT ve HyperStack araçlarını kullanır. Uydu internet üzerinden C2 iletişimi gibi benzersiz teknikler uygulamıştır.
IOC
| SHA256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | Nawuya.De (DGA kelime tabanlı) |
Turla — 恶意软件档案
Turla APT Snake FSB 1996+. Nawuya.De DGA kelime. Snake/Kazuar/ComRAT. Uydu C2. Dubes 2025 indirme.
恶意软件类型
Backdoor
编程语言
C++
C2协议
DNS/HTTPS/Satellite
目标系统
Küresel Hükümet/Askeri
能力与行为
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC列表 (2 个指标)
IOC — Turla
# SHA256
c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# DOMAIN
nawuya.de
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |
| domain | nawuya.de |
C2服务器 (该家族共有 1 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| nawuya.de | domain | 443 | HTTPS | inactive | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。