Manuel Statik Analiz — LimeRAT | Tehdit:

ファイル Kimliği

SHA256940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ファイル名kalyanonlinematkaapp.exe
サイズ399.872 byte (399KB)
String Sayisi362 (çok az — yoğun obfuskasyon)

Hindistan Kalyan Matka Kumar Lure

Bölgesel Hedefleme: Hint yasadışı kumar uygulaması kılığı!
kalyanonlinematkaapp.exe
-- "Kalyan" = Mumbai'nin Kalyan şehri (Hindistan)
-- "Matka" = Hint yasadışı piyango oyunu (çevrimiçi ve fiziksel)
-- "OnlineMatka" = yasadışı Matka çevrimiçi versiyonu
-- Kumar/piyango kullanıcılarını hedef alan Güney Asya kampanyası
-- Benzer hedefleme: LimeRAT'ın Hindistan odaklı kampanyaları

C2: Gambling Sitesi Domaininde Gizli

https://kalyanonlinematkaapp.in.net/tai-app-kubet/
-- .in.net = Hindistan (.in) TLD taklit + .net kombine (meşru değil)
-- "tai-app-kubet" = Taylandlı online casino "KUBET" uygulaması
-- Hem Hint hem Vietnam/Tayland kumar markaları bir arada!
-- Kumar sitesi domain'i C2 adresi olarak kullanılıyor

VM Tespiti

vmware        -- VMware sanal makine adı
\vboxhook.dll -- VirtualBox hook DLL kontrolü
-- İki farklı VM platformu tespit ediliyor

IOC

SHA256940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2kalyanonlinematkaapp.in.net
Lurekalyanonlinematkaapp.exe (Hint Kumar Uygulaması)

LimeRAT2 — マルウェアプロファイル

LimeRAT 2019 .NET. kalyanonlinematkaapp.exe Hint Kalyan Matka kumar kılık. kubet C2. VM detect vmware+vboxhook.

マルウェアの種類
RAT
プログラミング言語
C#/.NET
C2プロトコル
HTTP
標的システム
Güney Asya

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (1 件の指標)

IOC — LimeRAT2
# DOMAIN in.net
タイプメモ
domain in.net

C2サーバー (このファミリーで1台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
kalyanonlinematkaapp.in.net domain 443 HTTPS active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
limeratkalyanonlinematkaapp-exekalyan-matka-gambling-lureindia-gambling-appkubet-c2tai-app-kubetvmware-vbox-detectnetwork-credential