Manuel Statik Analiz — Rhadamanthys Stealer | Tehdit: KRITIK
Файл Kimliği
| SHA256 | a793c1a77afeb7d8171520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Имя файла | metacore-loader.exe ("meta core" yükleyici kisvesi) |
| Размер | 171.520 byte |
| String Sayisi | 1.176 |
Doğrudan IP:Port C2
C2: Domain yerine ham IP adresi — DNS kaydı gerektirmez, domain takedown'a karşı dayanıklı!
http://176.46.152.62 -- Ham IP C2 (HTTP) 176.46.152.62:5858 -- Port 5858 özel protokol -- Port 5858: Rhadamanthys'in tescil dışı C2 portu -- Ham IP: Domain tabanlı engelleme atlatma
Rhadamanthys Hakkında
Rhadamanthys, 2022'de C++ ile yazılan ve plugin tabanlı mimariye sahip gelişmiş infostealer'dır. $250-550 arasında fiyatlandırılan MaaS modeliyle çalışır. Clipper, DLL inject ve process injection özellikleri içerir. Windows Defender dışlama listeleri ekler.
IOC
| SHA256 | a793c1a77afeb7d8171520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 IP | 176.46.152.62:5858 |
Rhadamanthys3 — Профиль вредоносного ПО
Rhadamanthys C++ plugin MaaS 2022. $250-550. Direct IP C2. metacore-loader. Port 5858.
Тип вредоносного ПО
Infostealer
Язык программирования
C++
C2 Протокол
HTTP
Целевые системы
Kuresel
Возможности и поведение
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Список IOC (1 индикаторов)
IOC — Rhadamanthys3
# IP
176.46.152.62
| Тип | Значение | Примечание |
|---|---|---|
| ip | 176.46.152.62 |
C2 Серверы (1 зарегистрированных серверов для этого семейства)
| Адрес | Тип | Порт | Протокол | Статус | Страна |
|---|---|---|---|---|---|
| 176.46.152.62 | ip | 5858 | HTTP | inactive | — |
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.