CoinMiner — глубокий статический анализ (5a69d7e5)

Сводка по угрозе
СемействоCoinMiner
Уровень угрозыВЫСОКИЙ
PlatformC++ (XMRig tabanlı)
PackerTespit edilmedi
SHA2565a69d7e544366d516dca0903468a8c7d...
Первое обнаружение2026-06-29
Метод обнаруженияMalwareBazaar + Amadey Loader zinciri
ДостоверностьMEDIUM

Информация о файле

СвойствоЗначение
SHA2565a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
MD5cbc88849ffeab52cbd7ee94d3f562c3c
SHA1
Имя файлаfile (CoinMiner, Amadey dropped)
Размер3,743,666 bytes
Архитектураx64
Дата компиляцииНеизвестно
PackerTespit edilmedi
MB первое обнаружение2026-06-29
Метки MBexe, CoinMiner, 54e64e, dropped-by-amadey

Профиль угрозы

Семейство: CoinMiner   Классификация: ВЫСОКИЙ   Достоверность: MEDIUM

Bu örnek, Amadey Loader tarafından ikinci aşamada indirilen ve çalıştırılan bir CoinMiner ailesidir. 3.7 MB'lık büyük dosya boyutu, embedded XMRig binary veya mining konfigürasyonu içerdiğine işaret etmektedir. Monero (XMR) madenciliği için CPU kaynaklarını tüketir. "54e64e" ve "dropped-by-amadey" etiketleri, bu örneğin organize bir Amadey botnet kampanyasının parçası olduğunu göstermektedir. Stratum pool adresi statik analizde tespit edilemedi — büyük ihtimalle şifreli konfigürasyon dosyasında.

Обнаруженные возможности

  • CPU Madenciliği (Monero / XMR)
  • Stratum protokolü ile mining pool bağlantısı
  • CPU kullanım yönetimi (tespit kaçınma)
  • Persistence (autorun)
  • Anti-Debug kontrolleri

Anti-Analiz Teknikleri

  • CPU kullanımını ayarlayarak EDR tetikleyicilerinden kaçınma
  • Anti-Debug

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

TipЗначение
sha2565a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
md5cbc88849ffeab52cbd7ee94d3f562c3c
domaine.mE
domaingcc.gnu.org
domainpastebin.com
domainT.dE
domainxmr-eu2.nanopool.org
domainzP.dE
domainzT.dE

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

CoinMiner — Профиль вредоносного ПО

CoinMiner kurbanin bilgisayar kaynaklarini CPU/GPU kripto para madenciligi icin kullanan malware ailesidir. Genellikle XMRig kullanir. Sahte yazilim paketleri ile yayilir.

Тип вредоносного ПО
Coinminer
Язык программирования
C/C++
C2 Протокол
TCP
Целевые системы
Küresel

Технические детали

XMRig tabanli (C++), stratum protocol, pool mining, process priority manipulation, antivirus/firewall bypass, watchdog process, process injection (svchost)

Возможности и поведение

CPU/GPU Madenciliği
Kripto Para Üretimi
Kaynak Kullanımı
Kalıcılık
Anti-Analiz
Yayılma Mekanizması

Список IOC (5 индикаторов)

IOC — CoinMiner
# SHA256 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048 # MD5 cbc88849ffeab52cbd7ee94d3f562c3c # DOMAIN gcc.gnu.org # DOMAIN pastebin.com # DOMAIN xmr-eu2.nanopool.org
ТипЗначениеПримечание
sha256 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
md5 cbc88849ffeab52cbd7ee94d3f562c3c
domain gcc.gnu.org
domain pastebin.com
domain xmr-eu2.nanopool.org
Теги
coinminerxmrigmonerocryptominerpeanalizstatikiocamadeydropped