Manuel Statik Analiz — GootKit / GootLoader | Tehdit: КРИТИЧЕСКИЙ

Файл Kimliği

SHA256f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c4
Имя файлаRiba_domestic_building_contract_free[...].js (RIBA İnşaat Sözleşmesi!)
FormatJavaScript (.js) — 143.744 byte
String Sayisi3.166

Riba_domestic_building_contract_free: İngiltere İnşaat Sektörü SEO Lürü

SEO ZEHİRLEME: RIBA sözleşme şablonu kılığında!
Riba_domestic_building_contract_free[...].js
-- RIBA = Royal Institute of British Architects (Kraliyet Mimar Enstitüsü)
-- "domestic_building_contract" = konut inşaat sözleşmesi
-- "_free" = ücretsiz şablon (indirme teşviki)
-- Hedef: İngiltere mimarlık firmaları, inşaat müteahhitleri, avukatlar
-- GootKit SEO zehirleme: Google'da "RIBA sözleşme şablonu" arandığında ilk sıralarda!
-- Önceki kampanya: "Legal_Case_Management_Guide" (batch 75)
-- Aynı taktik: Hukuk → Şimdi İnşaat sektörüne genişledi

answerw Obfuscated JavaScript Payload

PAYLOAD: Gizlenmiş GootKit JavaScript konfigürasyonu!
answerw='n|vCtlmclfg[+rgDao*(ro)3e|]9zo))+l5]sC2(ie(DtsD(5|[8+aG)cTv)awm;uegSgNgNhk/m[...]'
-- "answerw" = obfuscated JavaScript değişkeni
-- İçerik: regex-like obfuscation → C2 URL + komut + payload
-- "sC2" = payload içinde C2 referansı
-- RegExp + eval ile decode edilecek multi-layer obfuscation
-- GootKit: 5+ katmanlı JavaScript gizleme kullanır

Stanford + astron-soc.in: Meşru Site Dead Drop

http://hummer.stanford.edu/museinf[...]  -- Stanford Üniversitesi URL
http://astron-soc.in/bulletin/11June/289392011.pdf  -- Hint Astronomi Derneği
-- GootKit: C2 komutlarını meşru sitelerde gizler (dead drop)
-- Stanford/akademik URL: güvenlik filtreleri engelleme yapmaz
-- "289392011" = victim/session ID gibi görünen numara
-- Ziyaret edilen meşru siteden payload/komut çekilir → trafik normal görünür

IOC

SHA256f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c4
LureRIBA domestic building contract (UK)
Dead Drophummer.stanford.edu, astron-soc.in

GootKit — Профиль вредоносного ПО

GootKit GootLoader. RIBA UK construction seo poisoning. JS obfuscation. Stanford dead drop.

Тип вредоносного ПО
Backdoor
Язык программирования
C++
C2 Протокол
HTTPS .su
Целевые системы
Küresel/UK

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (2 индикаторов)

IOC — GootKit
# SHA256 f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c # DOMAIN astron-soc.in
ТипЗначениеПримечание
sha256 f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c
domain astron-soc.in

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
shinezv.su domain 443 HTTPS inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
gootkitgootloaderriba-domestic-building-contract-uk-lureuk-construction-sector-targetinganswerw-obfuscated-jsstanford-hummer-urlastron-soc-in-urlseo-poisoning