Manuel Statik Analiz — Cl0p Linux ELF | Tehdit: KRITIK

Файл Kimliği

SHA25609d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Имя файлаb6d2eae7413db11b4e6a8256ef.elf (Linux ELF binary!)
Размер1.250.347 byte (1.25MB ELF)
String Sayisi5.726

Tor Onion C2 URL

Gerçek C2 URL Tespit Edildi:
http://6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/93868e7...
-- 62 karakter v3 Tor onion adresi
-- /remote0/ = birincil komuta kanalı endpoint'i
-- /93868e7... = kampanya/kurban kimlik hash'i

C2 Domainleri

inst.cc           -- .cc Cocos Adaları TLD, 6 karakter kısa domain
rsv-box.com       -- "RSV" prefix (rezervasyon?) ile .com
support-mult.com  -- "çoklu destek" sahte teknik destek

Linux Cl0p Hakkında

Cl0p (TA505), Rusya merkezli ileri düzey tehdit aktörü. Başlangıçta Windows ransomware iken 2023'te Linux ve VMware ESXi versiyonları eklendi. MOVEit Transfer zafiyetini (CVE-2023-34362) büyük çaplı fidye saldırılarında kullandı. Kurumsal Linux sunucularını hedefler. Tor tabanlı müzakere altyapısı.

IOC

SHA25609d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Tor C26v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/
C2inst.cc / rsv-box.com / support-mult.com

Cl0p2 — Профиль вредоносного ПО

Cl0p TA505 Rusya Linux ELF. inst.cc+rsv-box.com+support-mult.com C2. 62-char Tor onion. MOVEit CVE-2023-34362. VMware ESXi.

Тип вредоносного ПО
Ransomware
Язык программирования
C
C2 Протокол
HTTPS/Tor
Целевые системы
Küresel Kurumsal

Возможности и поведение

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Список IOC (4 индикаторов)

IOC — Cl0p2
# DOMAIN 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion # DOMAIN inst.cc # DOMAIN rsv-box.com # DOMAIN support-mult.com
ТипЗначениеПримечание
domain 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion
domain inst.cc
domain rsv-box.com
domain support-mult.com

C2 Серверы (3 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
inst.cc domain 443 HTTPS active —
rsv-box.com domain 443 HTTPS inactive —
support-mult.com domain 443 HTTPS inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
cl0plinux-elftor-onion-c2inst-ccrsv-box-comsupport-mult-comlinux-ransomware62-char-onion