Manuel Statik Analiz — Phorpiex Botnet | Tehdit: YUKSEK

ファイル Kimliği

SHA25612815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
サイズ113.664 byte (113KB)
String Sayisi758 (çok az — yoğun obfuskasyon)

C2 Sunucusu ve Çoklu Payload Zinciri

Aktif C2: 178.16.54.109 | Numaralı loader zinciri!
http://178.16.54.109/lb10.exe  -- loader 10. binary
http://178.16.54.109/lb11.exe  -- loader 11. binary
http://178.16.54.109/lb12.exe  -- loader 12. binary (en az)
-- "lb" = "loader binary" kısaltması
-- Numaralı sıra: Phorpiex farklı kurbanlara farklı payload gönderir
-- lb10, lb11, lb12 = farklı ikinci aşama malware'ler
-- Tek C2'dan çoklu komuta: botnet orkestrasyon merkezi

Phorpiex/Trik Hakkında

Phorpiex (Trik) 2016'dan beri aktif olan Rus kökenli botnet ailesidir. SMTP spam, kripto para hırsızlığı (clipboard hijacking), fidye yazılımı dağıtımı ve DDoS kapasitesine sahiptir. Milyonlarca Windows sistemini etkiledi. "Clipper" modülü ile kripto cüzdan adreslerini değiştirir. 2021'de altyapı kapatıldı ama 2022'de yeniden ortaya çıktı.

IOC

SHA25612815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2178.16.54.109
Payload URL'lerihttp://178.16.54.109/lb10.exe | /lb11.exe | /lb12.exe

Phorpiex — マルウェアプロファイル

Phorpiex/Trik botnet. 178.16.54.109 C2 IP. lb10/lb11/lb12 cok asamali payload. Spam + crypto mining + clipper.

マルウェアの種類
Botnet
プログラミング言語
C++
C2プロトコル
HTTP/P2P
標的システム
Kuresel

機能と挙動

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOCリスト (1 件の指標)

IOC — Phorpiex
# IP 178.16.54.109
タイプメモ
ip 178.16.54.109

C2サーバー (このファミリーで4台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
178.16.54.109 ip — HTTP active —
178.16.54.109 ip 80 HTTP active —
178.16.54.109 ip 80 HTTP active —
178.16.54.109 ip 80 HTTP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
phorpiextrik-botnet178-16-54-109-c2lb10-lb11-lb12-exemulti-payload-chainnumbered-loaders