Manuel Statik Analiz — Yanluowang Ransomware | Tehdit: KRITIK

Файл Kimliği

SHA256d11793433065633b408040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Имя файлаyan1.exe (Yanluowang imzası — "yan" + "1" versiyon)
Размер408.040 byte
String Sayisi2.228

Geliştirici "cake" — Rahat Takma Ad

PDB İpucu: Tehdit aktörü "cake" takma adını kullanıyor — ciddi bir APT için olağandışı rahat kullanıcı adı!
C:\Users\cake\Desktop\project-main\project-main\ConsoleApplication2\cryptopp-master\...
-- Kullanıcı: "cake" (muhtemelen Çince konuşan?)
-- Proje klasörü: "project-main" (GitHub klonu!)
-- "ConsoleApplication2" = Visual Studio varsayılan proje adı
-- CryptoPP şifreleme kütüphanesi yüklü

Chrome Proses Öldürme

taskkill /f /im chrome*  -- Chrome'u öldür (dosyaları kilitlemesin diye)
AdjustTokenPrivileges    -- SYSTEM yetkisi alma
OpenProcessToken         -- Proses token manipülasyonu

Yanluowang Hakkında

Yanluowang, 2021'de keşfedilen ve Cisco'nun 2022'deki ihlalinde kullanıldığı bildirilen ransomware ailesidir. İnsan hakları aktivistleri ve gazetecileri de hedeflediği bilinmektedir. Çin mitolojisindeki "Yanluowang" (Ölüm tanrısı) adını taşır. Temmuz 2022'de şifre çözme anahtarları sızdırılmıştır.

IOC

SHA256d11793433065633b408040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
PDBC:\Users\cake\Desktop\project-main (GitHub klonu)
Öldürtaskkill /f /im chrome*

Yanluowang — Профиль вредоносного ПО

Yanluowang Cisco 2022 saldiginda kullanildi. developer "cake" CryptoPP. Chrome killer. Cin APT.

Тип вредоносного ПО
Ransomware
Язык программирования
C++
C2 Протокол
HTTPS
Целевые системы
Kuresel Kurumsal/Aktivist

Возможности и поведение

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Список IOC (1 индикаторов)

IOC — Yanluowang
# SHA256 d11793433065633b408040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ТипЗначениеПримечание
sha256 d11793433065633b408040b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62
Теги
yanluowangyan1-execake-developercryptoppchrome-killcisco-attackchina-apt