Manuel Statik Analiz — WarzoneRAT (Ave Maria RAT) | Tehdit: YUKSEK

Файл Kimliği

SHA256536d2e05383047b69687048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Имя файлаPO.exe (Purchase Order — Satın Alma Emri)
Размер968.704 byte (968KB)
String Sayisi6.168

Satın Alma Emri Tuzağı

PO.exe
-- "PO" = Purchase Order (Satın Alma Emri) — kurumsal finans belgesi
-- Tedarik zinciri / satın alma departmanı hedefi
-- Email eki: "PO belgesi gönderiyorum.exe" senaryosu

OVH Barındırma C2

http://sgames.ovh.org
-- "sgames" = simple/server games (oyun servisi görünümü)
-- ovh.org = OVH bulut altyapısı barındırması
-- OVH Fransa merkezli → büyük hosting → C2 trafiği tespit edilmez

IOC

SHA256536d2e05383047b69687048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2http://sgames.ovh.org
LurePO.exe (satın alma emri)

WarzoneRAT2 — Профиль вредоносного ПО

WarzoneRAT/AveMaria RAT 2019 MaaS $40/ay. sgames.ovh.org C2. PO.exe iş lure. Credential stealing+UAC bypass.

Тип вредоносного ПО
RAT
Язык программирования
C++
C2 Протокол
TCP
Целевые системы
Küresel Kurumsal

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (1 индикаторов)

IOC — WarzoneRAT2
# DOMAIN ovh.org
ТипЗначениеПримечание
domain ovh.org

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
sgames.ovh.org domain 80 HTTP inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
warzoneratavemariapo-exepurchase-order-luresgames-ovh-orgovh-c2business-lure