Информация о файле
| Свойство | Значение |
|---|---|
| SHA256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 |
| MD5 | c932d4c3f54e3902d57abff3c58e09b6 |
| SHA1 | |
| Имя файла | file (Go binary, NjRAT etiketli) |
| Размер | 1,791,384 bytes |
| Архитектура | x64 (amd64) |
| Дата компиляции | Неизвестно |
| Packer | Tespit edilmedi |
| MB первое обнаружение | 2026-06-29 |
| Метки MB | exe, njrat, d52f85, dropped-by-amadey |
Профиль угрозы
Семейство: NjRAT Классификация: ВЫСОКИЙ Достоверность: LOW
⚠️ ÖNEMLİ NOT: Bu örnek MalwareBazaar tarafından "njrat" olarak etiketlenmişse de statik analiz Golang ile yazılmış bir binary olduğunu ortaya koymaktadır. Strings analizinde "Go build ID: YD5mHnHgmfz77..." tespit edilmiş, klasik VB.NET/VB6 NjRAT imzaları bulunamamıştır. "dropped-by-amadey" ve "d52f85" etiketleri, bu örneğin Amadey Loader kampanyasının parçası olarak dağıtıldığını göstermektedir. Binwalk analizi mcrypt Blowfish-448 şifrelenmiş veri bölümü tespit etmiştir — C2 konfigürasyonu büyük ihtimalle burada saklanmaktadır. Etiket yanıltıcı olabilir; dinamik analiz önerilir.
Обнаруженные возможности
- Remote Access (Amadey loader zincirinden)
- Ağ iletişimi (Go net paketi)
- Sistem bilgisi toplama
- C2 iletişimi (şifreli, tespit edilemedi)
Anti-Analiz Teknikleri
- Go binary obfuscation (rodata şifreli)
- MCrypt Blowfish-448 şifrelenmiş veri bölümü (binwalk tespiti)
Kalıcılık Mekanizmaları
Bilinmiyor (statik analizde tespit edilemedi)
Enjeksiyon Teknikleri
- Неизвестно
C2 Sunucuları
IOC Listesi
| Tip | Значение |
|---|---|
| sha256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 |
| md5 | c932d4c3f54e3902d57abff3c58e09b6 |
| domain | activeSweepmheap.fr |
| domain | atomic.Com |
| domain | bisect.de |
| domain | bits.Tr |
| domain | bytealg.Com |
| domain | cmp.Com |
| domain | destroy.fr |
| domain | dict.br |
| domain | dict.Com |
| domain | dict.me |
| domain | doSlow.de |
| domain | eq.io |
| domain | eq.reflect.me |
| domain | eq.reflect.Me |
| domain | eq.ru |
| domain | eq.runtime.Fr |
| domain | eq.runtime.tr |
| domain | eq.syscall.WS |
| domain | exithook.ru |
| domain | exithook.Ru |
| domain | exithook.Run.de |
| domain | Find.de |
| domain | flush.de |
| domain | fmtsort.com |
| domain | freemheap.fr |
| domain | godebug.ru |
| domain | godebugs.Info |
| domain | godebug.update.de |
| domain | handleMethods.de |
| domain | hash.ru |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
NjRAT — Профиль вредоносного ПО
njRAT Bladabindi. Spanish cotizacion lure. get_Panel1 C2 panel. MENA + Latin America targeting.
Технические детали
TCP port 1177 (varsayilan), XOR tabanlı iletisim sifreleme, .NET Framework 2.0+, Mutex: {GUID}, Registry Run key persistence, Keylogger (GetAsyncKeyState), clipboard monitor, screenshot, remote shell, remote camera
Атрибуция / Актор угрозы
Arap dilli siber suc topluluklari, en cok MENA (Orta Dogu ve Kuzey Afrika) bolgesindeki gruplar. Yasama savasi donemi Suriyeli gruplar tarafindan da kullanilmistir.
Возможности и поведение
Список IOC (5 индикаторов)
# SHA256
a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677
# MD5
c932d4c3f54e3902d57abff3c58e09b6
# DOMAIN
eq.runtime.Fr
# DOMAIN
eq.runtime.tr
# DOMAIN
handleMethods.de
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 | |
| md5 | c932d4c3f54e3902d57abff3c58e09b6 | |
| domain | eq.runtime.Fr | |
| domain | eq.runtime.tr | |
| domain | handleMethods.de |
C2 Серверы (8 зарегистрированных серверов для этого семейства)
| Адрес | Тип | Порт | Протокол | Статус | Страна |
|---|---|---|---|---|---|
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| comodoca.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| comodoca.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.