Manuel Statik Analiz — Cl0p Linux ELF | Tehdit: KRITIK
ファイル Kimliği
| SHA256 | 09d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| ファイル名 | b6d2eae7413db11b4e6a8256ef.elf (Linux ELF binary!) |
| サイズ | 1.250.347 byte (1.25MB ELF) |
| String Sayisi | 5.726 |
Tor Onion C2 URL
Gerçek C2 URL Tespit Edildi:
http://6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/93868e7... -- 62 karakter v3 Tor onion adresi -- /remote0/ = birincil komuta kanalı endpoint'i -- /93868e7... = kampanya/kurban kimlik hash'i
C2 Domainleri
inst.cc -- .cc Cocos Adaları TLD, 6 karakter kısa domain rsv-box.com -- "RSV" prefix (rezervasyon?) ile .com support-mult.com -- "çoklu destek" sahte teknik destek
Linux Cl0p Hakkında
Cl0p (TA505), Rusya merkezli ileri düzey tehdit aktörü. Başlangıçta Windows ransomware iken 2023'te Linux ve VMware ESXi versiyonları eklendi. MOVEit Transfer zafiyetini (CVE-2023-34362) büyük çaplı fidye saldırılarında kullandı. Kurumsal Linux sunucularını hedefler. Tor tabanlı müzakere altyapısı.
IOC
| SHA256 | 09d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Tor C2 | 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/ |
| C2 | inst.cc / rsv-box.com / support-mult.com |
Cl0p2 — マルウェアプロファイル
Cl0p TA505 Rusya Linux ELF. inst.cc+rsv-box.com+support-mult.com C2. 62-char Tor onion. MOVEit CVE-2023-34362. VMware ESXi.
マルウェアの種類
Ransomware
プログラミング言語
C
C2プロトコル
HTTPS/Tor
標的システム
Küresel Kurumsal
機能と挙動
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOCリスト (4 件の指標)
IOC — Cl0p2
# DOMAIN
6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion
# DOMAIN
inst.cc
# DOMAIN
rsv-box.com
# DOMAIN
support-mult.com
| タイプ | 値 | メモ |
|---|---|---|
| domain | 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion | |
| domain | inst.cc | |
| domain | rsv-box.com | |
| domain | support-mult.com |
C2サーバー (このファミリーで3台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| inst.cc | domain | 443 | HTTPS | active | — |
| rsv-box.com | domain | 443 | HTTPS | inactive | — |
| support-mult.com | domain | 443 | HTTPS | inactive | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。