哈希 / 信息
SHA256fe974cd55e593d754c3dca74db62bc2fb48f9144c7098eedcf3b9abad1fe05e2
MD548ad0ffe0b3209700f2b2d73cf2777dc
SHA13121376a415eec170669e98a30a7d473dda526db
ImpHash6b98f7957115ab6801127ef9215878fd
文件 Adifaktura_202003_3817449.pdf.exe
文件类型exe
大小1,304,576 bytes
首次发现2020-03-31

Tehdit 值lendirmesi

Bu ornek, saldırganlara ele gecirilen sistemler uzerinde tam uzaktan kontrol imkani sunan bir RAT (Uzaktan Erisim Trojanı) olarak tespit edilmistir. Keylogging, ekran goruntüsü alma, dosya yonetimi ve kabuk erisimi gibi kapsamlı gozetleme yeteneklerine sahiptir.

检测到的功能

  • Uzaktan Erisim
  • Keylogging
  • Ekran Goruntüsü
  • 文件 Yonetimi
  • Kabuk Erisimi

MalwareBazaar 标签

avemariaAveMariaRATexe

分析说明

Bu ornek WarzoneRAT ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

WarzoneRAT — 恶意软件档案

WarzoneRAT Ave Maria RAT. 2026 itibariyla aktif. Tarih prefixli dagitim. Config karması 45A06E. Uclu anti-debug.

恶意软件类型
RAT
编程语言
C++
C2协议
TCP
目标系统
Windows
别名 (AKA)
Ave Maria

技术细节

C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli

归因 / 威胁行为者

Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.

能力与行为

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC列表 (6 个指标)

IOC — WarzoneRAT
# SHA256 fe974cd55e593d754c3dca74db62bc2fb48f9144c7098eedcf3b9abad1fe05e2 # MD5 48ad0ffe0b3209700f2b2d73cf2777dc # IP 185.216.36.143 # DOMAIN cloudflareprotected.xyz # MUTEX WarZone160Mutex # REGISTRY HKCUSoftwareMicrosoftWindowsCurrentVersionRunWarzoneRAT
类型备注
sha256 fe974cd55e593d754c3dca74db62bc2fb48f9144c7098eedcf3b9abad1fe05e2
md5 48ad0ffe0b3209700f2b2d73cf2777dc
ip 185.216.36.143 C2:4500
domain cloudflareprotected.xyz C2:5200
mutex WarZone160Mutex WarzoneRAT v1.60 mutex
registry HKCUSoftwareMicrosoftWindowsCurrentVersionRunWarzoneRAT WarzoneRAT Run key

C2服务器 (该家族共有 2 台已记录服务器)

地址 类型 端口 协议 状态 国家
185.216.36.143 ip 4500 TCP inactive BG
cloudflareprotected.xyz domain 5200 TCP inactive RU

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
avemariaAveMariaRATexe