Файл Kimligi
| SHA256 | 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13 |
|---|---|
| Размер | 95.232 byte |
| Platform | .NET 2.0 (v2.0.50727) |
| String Sayisi | 998 |
Семейство Tespit Imzalari
avicap32.dll -- Webcam API kutuphanesi (NjRAT cam ozelliginin imzasi) capGetDriverDescriptionA -- Webcam surucu listeleme (NjRAT'a ozgu) CsAntiProcess -- NjRAT'in anti-AV/process killing modulu TcpClient -- TCP baglanti objesi GZipStream -- Veri sikistirma (exfiltration oncesi) Socket / Connect -- Agdan ag iletisimi Screen / get_PrimaryScreen / CopyFromScreen -- Ekran yakalama ClipboardProxy / Clipboard -- Pano erisimi GetActiveTcpConnections -- Aktif TCP baglanti listesi timx_run / timy_run -- Timer tabanli geri arama
NjRAT Yetenekleri
| Ozellik | Detay |
|---|---|
| Webcam | avicap32.dll ile canli goruntuleme |
| Keylogger | GetAsyncKeyState tabanli tus kaydi |
| Screenshot | CopyFromScreen ile ekran goruntusu |
| Clipboard | Pano iceriklerini oku/degistir |
| Файл Yonetimi | Upload/download, silme, olusturma |
| Komut Satiri | Uzaktan cmd/PowerShell |
| Anti-AV | CsAntiProcess ile AV proseslerini kapat |
| Sikistirma | GZip ile veri sikistirma (bant genisligi) |
NjRAT Hakkinda
NjRAT (Bladabindi olarak da bilinir), 2013 yilinda nj/njq8 takma adiyla bilinen bir gelistirici tarafindan Orta Dogu'daki kullanicilari hedefleyerek yazilmistir. VB.NET tabanlidir ve acik kaynak kodundan turetilen onlarca varyanti mevcuttur. Orta Dogu, Kuzey Afrika ve Asya'da yaygin; hukumet ve ordu kurumlarini hedef alan APT gruplarinca da kullanilmaktadir.
IOC
| SHA256 | 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13 |
|---|---|
| Imzalar | avicap32.dll, capGetDriverDescriptionA, CsAntiProcess |
| Platform | .NET v2.0.50727 |
| C2 | Runtime (TcpClient hardcoded config) |
NjRAT — Профиль вредоносного ПО
njRAT Bladabindi. Spanish cotizacion lure. get_Panel1 C2 panel. MENA + Latin America targeting.
Технические детали
TCP port 1177 (varsayilan), XOR tabanlı iletisim sifreleme, .NET Framework 2.0+, Mutex: {GUID}, Registry Run key persistence, Keylogger (GetAsyncKeyState), clipboard monitor, screenshot, remote shell, remote camera
Атрибуция / Актор угрозы
Arap dilli siber suc topluluklari, en cok MENA (Orta Dogu ve Kuzey Afrika) bolgesindeki gruplar. Yasama savasi donemi Suriyeli gruplar tarafindan da kullanilmistir.
Возможности и поведение
Список IOC (1 индикаторов)
# SHA256
39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13 |
C2 Серверы (8 зарегистрированных серверов для этого семейства)
| Адрес | Тип | Порт | Протокол | Статус | Страна |
|---|---|---|---|---|---|
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| comodoca.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| comodoca.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.