Manuel Statik Analiz — CrimsonRAT (Pakistan APT) | Tehdit: KRITIK

Файл Kimliği

SHA2568690354fb8a8e640e9e4aa9c70444a099a818a27f35b3c5a4f7d0e2b6c9f1a3d
Имя файлаInvitation-Letter-Fazel-Mumbai.iso
Размер4.784.128 byte (ISO)
String Sayisi25.344

Güney Asya Hedefleme Tuzağı

APT Hedef: "Mumbai'de Davet Mektubu" = Hindistan kurumsal hedefleme! Pakistan kaynaklı APT operasyonu.
Invitation-Letter-Fazel-Mumbai  -- Hindistan/Mumbai odaklı spear-phishing
-- Fazel = İslam kökenli isim → Pakistan→Hindistan APT hedefleme

Cleartext C2 Domain

http://java-for-minecraft.com/  -- AÇIK METİN C2 sunucusu
-- "Minecraft Java" gibi görünen meşru yazılım taklidi!
l2vD8Fitdl8qSVEp19.mE          -- Şifreli C2 fragmenti (.me TLD)

CrimsonRAT ve Pakistan APT Hakkında

CrimsonRAT, Transparent Tribe (APT36) olarak bilinen Pakistan devlet destekli tehdit aktörüne atfedilen uzaktan erişim trojanıdır. Свойствоle Hindistan hükümeti, ordusu ve savunma sanayii çalışanlarını hedefler. ISO/ZIP içinde meşru görünen belgelerle dağıtılır. Keylogger, ekran görüntüsü, dosya hırsızlığı ve reverse shell yetenekleri vardır.

IOC

SHA2568690354fb8a8e640e9e4aa9c70444a099a818a27f35b3c5a4f7d0e2b6c9f1a3d
C2java-for-minecraft.com
LureInvitation-Letter-Fazel-Mumbai ISO

CrimsonRAT — Профиль вредоносного ПО

CrimsonRAT APT36 Transparent Tribe Pakistan 2017. ICWA Mumbai Hindistan diplomatik lure. java-for-minecraft.com. .NET+Delphi.

Тип вредоносного ПО
RAT
Язык программирования
.NET
C2 Протокол
TCP
Целевые системы
Hindistan, Pakistan — hukumet, savunma, think-tank

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (1 индикаторов)

IOC — CrimsonRAT
# SHA256 8690354fb8a8e640e9e4aa9c70444a099a818a27f35b3c5a4f7d0e2b6c9f1a3d
ТипЗначениеПримечание
sha256 8690354fb8a8e640e9e4aa9c70444a099a818a27f35b3c5a4f7d0e2b6c9f1a3d

C2 Серверы (2 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
java-for-minecraft.com domain 80 HTTP active —
java-for-minecraft.com domain 80 HTTP active —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
crimsonratpakistan-aptmumbai-lurejava-for-minecraftapt-targetingsouth-asia