Manuel Statik Analiz — LimeRAT | Tehdit: СРЕДНИЙ
Файл Kimliği
| SHA256 | 940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Имя файла | kalyanonlinematkaapp.exe |
| Размер | 399.872 byte (399KB) |
| String Sayisi | 362 (çok az — yoğun obfuskasyon) |
Hindistan Kalyan Matka Kumar Lure
Bölgesel Hedefleme: Hint yasadışı kumar uygulaması kılığı!
kalyanonlinematkaapp.exe -- "Kalyan" = Mumbai'nin Kalyan şehri (Hindistan) -- "Matka" = Hint yasadışı piyango oyunu (çevrimiçi ve fiziksel) -- "OnlineMatka" = yasadışı Matka çevrimiçi versiyonu -- Kumar/piyango kullanıcılarını hedef alan Güney Asya kampanyası -- Benzer hedefleme: LimeRAT'ın Hindistan odaklı kampanyaları
C2: Gambling Sitesi Domaininde Gizli
https://kalyanonlinematkaapp.in.net/tai-app-kubet/ -- .in.net = Hindistan (.in) TLD taklit + .net kombine (meşru değil) -- "tai-app-kubet" = Taylandlı online casino "KUBET" uygulaması -- Hem Hint hem Vietnam/Tayland kumar markaları bir arada! -- Kumar sitesi domain'i C2 adresi olarak kullanılıyor
VM Tespiti
vmware -- VMware sanal makine adı \vboxhook.dll -- VirtualBox hook DLL kontrolü -- İki farklı VM platformu tespit ediliyor
IOC
| SHA256 | 940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | kalyanonlinematkaapp.in.net |
| Lure | kalyanonlinematkaapp.exe (Hint Kumar Uygulaması) |
LimeRAT2 — Профиль вредоносного ПО
LimeRAT 2019 .NET. kalyanonlinematkaapp.exe Hint Kalyan Matka kumar kılık. kubet C2. VM detect vmware+vboxhook.
Тип вредоносного ПО
RAT
Язык программирования
C#/.NET
C2 Протокол
HTTP
Целевые системы
Güney Asya
Возможности и поведение
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Список IOC (1 индикаторов)
IOC — LimeRAT2
# DOMAIN
in.net
| Тип | Значение | Примечание |
|---|---|---|
| domain | in.net |
C2 Серверы (1 зарегистрированных серверов для этого семейства)
| Адрес | Тип | Порт | Протокол | Статус | Страна |
|---|---|---|---|---|---|
| kalyanonlinematkaapp.in.net | domain | 443 | HTTPS | active | — |
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.