Manuel Statik Analiz — ModiLoader (DBatLoader) | Tehdit: YUKSEK
Файл Kimliği
| SHA256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |
|---|---|
| Имя файла | flxfmg.exe |
| Размер | 407.040 byte |
| String Sayisi | 3.310 |
Şifreli C2 Config Fragmentleri
2'212;2C2I2W2r2 -- C2 config şifreli veri bloğu
1+2@2c2{2 -- C2 config fragmenti
222C2 -- C2 referansı
ModiLoader/DBatLoader Hakkında
ModiLoader (DBatLoader), 2022'den beri aktif Delphi tabanlı loader ailesidir. AgentTesla, FormBook, LokiBot, Remcos gibi bilgi hırsızlarını ve RAT'ları yüklemek için kullanılır. İş konulu e-posta (spear-phishing) ile dağıtılır. Bulut depolama (OneDrive, Google Drive) üzerinden payload indirme özelliği vardır.
IOC
| SHA256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |
|---|
ModiLoader — Профиль вредоносного ПО
ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.
Тип вредоносного ПО
Loader
Язык программирования
Delphi
C2 Протокол
HTTP
Целевые системы
Windows
Технические детали
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Возможности и поведение
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Список IOC (1 индикаторов)
IOC — ModiLoader
# SHA256
b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |