Manuel Statik Analiz — Squirrelwaffle Loader | Tehdit: YUKSEK

Файл Kimliği

SHA256ab0a3f2c0b0bace7541120b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Размер541.120 byte
String Sayisi4.024

E-posta Thread Hijacking

Dağıtım: Squirrelwaffle, hedefin gerçek e-posta yazışmalarına cevap vererek yayılır — kurban tanıdık biriyle yazıştığını sanır!

Squirrelwaffle Hakkında

Squirrelwaffle, Eylül-Kasım 2021 arasında yoğun şekilde gözlemlenen yeni nesil email loader'dır. MS Office belgesi veya HTML e-posta ekiyle gelir. Özelliği: mevcut e-posta yazışmalarını ele geçirerek (thread hijacking) kurbanın güvendiği kişilerden geliyormuş gibi gösterir. Qakbot ve Cobalt Strike yükler. ProxyLogon/ProxyShell gibi Microsoft Exchange açıklarıyla da yayıldığı bilinmektedir.

IOC

SHA256ab0a3f2c0b0bace7541120b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
DağıtımE-posta thread hijacking

Squirrelwaffle — Профиль вредоносного ПО

Squirrelwaffle 2021 email thread hijacking loader. Exchange ProxyLogon/ProxyShell. Qakbot+CS dropper.

Тип вредоносного ПО
Loader
Язык программирования
C++
C2 Протокол
HTTPS
Целевые системы
Kurumsal

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — Squirrelwaffle
# SHA256 ab0a3f2c0b0bace7541120b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ТипЗначениеПримечание
sha256 ab0a3f2c0b0bace7541120b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62
Теги
squirrelwaffleemail-thread-hijackingloaderqakbot-chaincobalt-strike2021