Manuel Statik Analiz — Turla APT (FSB / Rusya) | Tehdit: KRITIK

Файл Kimliği

SHA256c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Размер1.985.024 byte
String Sayisi691 — son derece şifreli!

DGA Kelime Zinciri

Nawuya.De   -- .de Almanya TLD (zararsız görünüm)
-- Turla'nın tipik DGA yaklaşımı: kelime tabanlı domain
-- Config string: "Nawuya.De tikajucucehok kaxoz puladaz sunimo
   yifavend Wuroroxer janimawo duxavicihive"
-- Kelime zinciri = DGA "seed" materyali
-- Kurgusal Slavca/Latin kökenli kelimeler

Turla APT Hakkında

Turla (Snake, Uroburos, Venomous Bear), Rusya FSB'nin 8. Merkezi'ne atfedilen APT grubudur. 1996'dan beri aktif — dünyanın en eski siber istihbarat operasyonlarından biri. Snake rootkit, Kazuar backdoor, ComRAT ve HyperStack araçlarını kullanır. Uydu internet üzerinden C2 iletişimi gibi benzersiz teknikler uygulamıştır.

IOC

SHA256c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2Nawuya.De (DGA kelime tabanlı)

Turla — Профиль вредоносного ПО

Turla APT Snake FSB 1996+. Nawuya.De DGA kelime. Snake/Kazuar/ComRAT. Uydu C2. Dubes 2025 indirme.

Тип вредоносного ПО
Backdoor
Язык программирования
C++
C2 Протокол
DNS/HTTPS/Satellite
Целевые системы
Küresel Hükümet/Askeri

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (2 индикаторов)

IOC — Turla
# SHA256 c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 # DOMAIN nawuya.de
ТипЗначениеПримечание
sha256 c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
domain nawuya.de

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
nawuya.de domain 443 HTTPS inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
turla-aptfsb-russianawuya-dedga-word-chain691-stringheavy-encryptedbackdoor