CoinMiner — 深い静的解析 (5a69d7e5)

脅威サマリー
ファミリーCoinMiner
脅威レベル
PlatformC++ (XMRig tabanlı)
PackerTespit edilmedi
SHA2565a69d7e544366d516dca0903468a8c7d...
初回確認2026-06-29
検出方法MalwareBazaar + Amadey Loader zinciri
信頼度MEDIUM

ファイル情報

項目
SHA2565a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
MD5cbc88849ffeab52cbd7ee94d3f562c3c
SHA1
ファイル名file (CoinMiner, Amadey dropped)
サイズ3,743,666 bytes
アーキテクチャx64
コンパイル日時不明
PackerTespit edilmedi
MB 初回確認2026-06-29
MB タグexe, CoinMiner, 54e64e, dropped-by-amadey

脅威プロファイル

ファミリー: CoinMiner   分類:   信頼度: MEDIUM

Bu örnek, Amadey Loader tarafından ikinci aşamada indirilen ve çalıştırılan bir CoinMiner ailesidir. 3.7 MB'lık büyük dosya boyutu, embedded XMRig binary veya mining konfigürasyonu içerdiğine işaret etmektedir. Monero (XMR) madenciliği için CPU kaynaklarını tüketir. "54e64e" ve "dropped-by-amadey" etiketleri, bu örneğin organize bir Amadey botnet kampanyasının parçası olduğunu göstermektedir. Stratum pool adresi statik analizde tespit edilemedi — büyük ihtimalle şifreli konfigürasyon dosyasında.

検出された機能

  • CPU Madenciliği (Monero / XMR)
  • Stratum protokolü ile mining pool bağlantısı
  • CPU kullanım yönetimi (tespit kaçınma)
  • Persistence (autorun)
  • Anti-Debug kontrolleri

Anti-Analiz Teknikleri

  • CPU kullanımını ayarlayarak EDR tetikleyicilerinden kaçınma
  • Anti-Debug

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

Tip
sha2565a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
md5cbc88849ffeab52cbd7ee94d3f562c3c
domaine.mE
domaingcc.gnu.org
domainpastebin.com
domainT.dE
domainxmr-eu2.nanopool.org
domainzP.dE
domainzT.dE

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

CoinMiner — マルウェアプロファイル

CoinMiner kurbanin bilgisayar kaynaklarini CPU/GPU kripto para madenciligi icin kullanan malware ailesidir. Genellikle XMRig kullanir. Sahte yazilim paketleri ile yayilir.

マルウェアの種類
Coinminer
プログラミング言語
C/C++
C2プロトコル
TCP
標的システム
Küresel

技術詳細

XMRig tabanli (C++), stratum protocol, pool mining, process priority manipulation, antivirus/firewall bypass, watchdog process, process injection (svchost)

機能と挙動

CPU/GPU Madenciliği
Kripto Para Üretimi
Kaynak Kullanımı
Kalıcılık
Anti-Analiz
Yayılma Mekanizması

IOCリスト (5 件の指標)

IOC — CoinMiner
# SHA256 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048 # MD5 cbc88849ffeab52cbd7ee94d3f562c3c # DOMAIN gcc.gnu.org # DOMAIN pastebin.com # DOMAIN xmr-eu2.nanopool.org
タイプメモ
sha256 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
md5 cbc88849ffeab52cbd7ee94d3f562c3c
domain gcc.gnu.org
domain pastebin.com
domain xmr-eu2.nanopool.org
タグ
coinminerxmrigmonerocryptominerpeanalizstatikiocamadeydropped