Manuel Statik Analiz — SocGholish JavaScript Stager | Tehdit: YUKSEK
ファイル Kimliği
| SHA256 | 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2 |
|---|---|
| サイズ | 262 byte — İnsan gözüyle okunabilir JS stager! |
| String Sayisi | 1 (tek URL) |
Ele Geçirilmiş Web Sitesi — Seattle Mystery Lovers Kitabevi
Teknik: SocGholish meşru ve güvenilir web sitelerine enjekte ediliyor — kullanıcılar güvendikleri web sitelerini ziyaret ederek enfekte oluyor!
https://editions.seattlemysterylovers.com/I8l9JljrHk9H60cUFvxRBFHrRwRLqxNHRq4MU025Dkl -- seattlemysterylovers.com = gerçek Seattle Mystery Lovers kitabevi -- /editions/ alt dizininde zararlı JS enjekte edilmiş -- Rastgele görünen URL yolu = gizlenmiş payload endpoint -- 262 byte = minimal izlenimi bırakacak kadar küçük
SocGholish (FakeUpdates) Hakkında
SocGholish, TA569 tehdit aktörünün yönettiği drive-by download kampanyasıdır. Meşru web sitelerine zararlı JS enjekte eder ve kullanıcıya sahte "tarayıcı/yazılım güncellemesi" göstererek payload indirtir. WastedLocker ransomware ve BLISTER loader dağıtımında kullanılmıştır.
IOC
| SHA256 | 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2 |
|---|---|
| C2 | editions.seattlemysterylovers.com (ele geçirilmiş) |
| Aktör | TA569 / FakeUpdates |
SocGholish — マルウェアプロファイル
SocGholish FakeUpdates 2017. seattlemysterylovers.com ele gecirilmis kitabevi. 262 byte stager. CMS inject.
マルウェアの種類
Loader
プログラミング言語
JavaScript
C2プロトコル
HTTPS
標的システム
Kuresel Web Tarayıcı
機能と挙動
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOCリスト (1 件の指標)
IOC — SocGholish
# DOMAIN
seattlemysterylovers.com
| タイプ | 値 | メモ |
|---|---|---|
| domain | seattlemysterylovers.com |
C2サーバー (このファミリーで1台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| seattlemysterylovers.com | domain | 443 | HTTPS | active | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。