Manuel Statik Analiz — AZORult | Tehdit: YUKSEK
ファイル Kimliği
| SHA256 | 738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2 |
|---|---|
| サイズ | 143.360 byte |
| String Sayisi | 1.193 |
Şifreli C2 Config Fragmenti
9|l0c2- -- Şifreli C2 adresi fragmenti
Registry Kalicilik
RegCreateKeyExW -- Registry yazma (kalicilik icin)
AZORult Hakkinda
AZORult, 2016'dan beri aktif Rus yapimi C++ infostealer ailesidir. Tarayici sifreleri, email kimlik bilgileri, FTP, kripto cuzdan ve sistem bilgisi calar. HTTP POST ile sifreli C2'ye veri gonderir. 2019'da sIzdirildiktan sonra genis yayilim kazanmistir.
IOC
| SHA256 | 738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2 |
|---|---|
| Kalicilik | RegCreateKeyExW |
AZORult — マルウェアプロファイル
AZORult, 2016 dan beri aktif Rus yapimi C++ infostealer ailesidir. Tarayici sifreleri, email, FTP, kripto cuzdan. 2019 sızdırılmıstır.
マルウェアの種類
Infostealer
プログラミング言語
Delphi
C2プロトコル
HTTP
標的システム
Windows
技術詳細
C++, HTTP POST C2, browser credential theft (Chromium/Firefox), cookie theft, cryptocurrency wallet stealer, Steam session stealer, screenshot, clipboard monitor, downloader capability
機能と挙動
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOCリスト (1 件の指標)
IOC — AZORult
# SHA256
738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | 738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2 |
C2サーバー (このファミリーで4台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| ip-api.com | domain | 80 | HTTP | active | — |
| azorult-panel.ru | domain | 80 | HTTP | inactive | RU |
| 176.109.116.153 | ip | 80 | HTTP | inactive | UA |
| dotbit.me | domain | 443 | HTTPS | inactive | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。