Manuel Statik Analiz — Phorpiex Botnet | Tehdit: YUKSEK
Файл Kimliği
| SHA256 | 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Размер | 113.664 byte (113KB) |
| String Sayisi | 758 (çok az — yoğun obfuskasyon) |
C2 Sunucusu ve Çoklu Payload Zinciri
Aktif C2: 178.16.54.109 | Numaralı loader zinciri!
http://178.16.54.109/lb10.exe -- loader 10. binary http://178.16.54.109/lb11.exe -- loader 11. binary http://178.16.54.109/lb12.exe -- loader 12. binary (en az) -- "lb" = "loader binary" kısaltması -- Numaralı sıra: Phorpiex farklı kurbanlara farklı payload gönderir -- lb10, lb11, lb12 = farklı ikinci aşama malware'ler -- Tek C2'dan çoklu komuta: botnet orkestrasyon merkezi
Phorpiex/Trik Hakkında
Phorpiex (Trik) 2016'dan beri aktif olan Rus kökenli botnet ailesidir. SMTP spam, kripto para hırsızlığı (clipboard hijacking), fidye yazılımı dağıtımı ve DDoS kapasitesine sahiptir. Milyonlarca Windows sistemini etkiledi. "Clipper" modülü ile kripto cüzdan adreslerini değiştirir. 2021'de altyapı kapatıldı ama 2022'de yeniden ortaya çıktı.
IOC
| SHA256 | 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | 178.16.54.109 |
| Payload URL'leri | http://178.16.54.109/lb10.exe | /lb11.exe | /lb12.exe |
Phorpiex — Профиль вредоносного ПО
Phorpiex/Trik botnet. 178.16.54.109 C2 IP. lb10/lb11/lb12 cok asamali payload. Spam + crypto mining + clipper.
Тип вредоносного ПО
Botnet
Язык программирования
C++
C2 Протокол
HTTP/P2P
Целевые системы
Kuresel
Возможности и поведение
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Список IOC (1 индикаторов)
IOC — Phorpiex
# IP
178.16.54.109
| Тип | Значение | Примечание |
|---|---|---|
| ip | 178.16.54.109 |
C2 Серверы (4 зарегистрированных серверов для этого семейства)
| Адрес | Тип | Порт | Протокол | Статус | Страна |
|---|---|---|---|---|---|
| 178.16.54.109 | ip | — | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.