Manuel Statik Analiz (LLM Okumali) — AsyncRAT (Turkce Finans Tuzagi) | Tehdit: KRITIK

ファイル Kimligi

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
Orijinal AdBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
サイズ752.640 byte
Dil.NET Framework 4.0

Teslimat: Turk Finans Belgesi Tuzagi

Bu ornek Turkce konusanlari hedef alan bir AsyncRAT kampanyasinin parcasidir. ファイル adi "Borclularin Cekleri Gun Basi 25.06.2026" anlamina gelmekte olup finans/muhasebe personeline yonelik hedefli bir teslimat gostermektedir.

Gelistirici Izi — PDB Yolu

C:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\obj\Debug\PmGo.pdb

Bu PDB yolundan elde edilen bilgiler:

  • Gelistirici sistemi: Administrator hesabiyla calistirilmis — tipik bir VPS/RDP ortami
  • Rastgele temp klasoru: zmaeQNBJja — dinamik uretilmis derleme ortami
  • Dahili proje adi: PmGo
  • Build tipi: Debug modu

IOC

SHA25670c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
LureBorclusu_Olunan_Cekler_Gunbasi_25.06.2026.exe
HedefTurk finans/muhasebe personeli
PDBC:\Users\Administrator\Desktop\Client\Temp\zmaeQNBJja\src\...\PmGo.pdb
C2Sifrelenmis TCP (dinamik analiz gerekli)

AsyncRAT — マルウェアプロファイル

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

マルウェアの種類
RAT
プログラミング言語
.NET C#
C2プロトコル
TCP/SSL
標的システム
Windows
別名 (AKA)
AsyncClient

技術詳細

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

アトリビューション / 脅威アクター

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (1 件の指標)

IOC — AsyncRAT
# SHA256 70c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d
タイプメモ
sha256 70c2fe27f67d5bd45f18c826a1dc1f852fa86c9e1d3a5b7e8c0f2d4a6b9e1c3d

C2サーバー (このファミリーで8台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
asyncratratturk-lureborclu-ceklerpdb-admintcp-sifrelenmisfinans-tuzak