Manuel Statik Analiz — SocGholish JavaScript Stager | Tehdit: YUKSEK

ファイル Kimliği

SHA2568f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2
サイズ262 byte — İnsan gözüyle okunabilir JS stager!
String Sayisi1 (tek URL)

Ele Geçirilmiş Web Sitesi — Seattle Mystery Lovers Kitabevi

Teknik: SocGholish meşru ve güvenilir web sitelerine enjekte ediliyor — kullanıcılar güvendikleri web sitelerini ziyaret ederek enfekte oluyor!
https://editions.seattlemysterylovers.com/I8l9JljrHk9H60cUFvxRBFHrRwRLqxNHRq4MU025Dkl
-- seattlemysterylovers.com = gerçek Seattle Mystery Lovers kitabevi
-- /editions/ alt dizininde zararlı JS enjekte edilmiş
-- Rastgele görünen URL yolu = gizlenmiş payload endpoint
-- 262 byte = minimal izlenimi bırakacak kadar küçük

SocGholish (FakeUpdates) Hakkında

SocGholish, TA569 tehdit aktörünün yönettiği drive-by download kampanyasıdır. Meşru web sitelerine zararlı JS enjekte eder ve kullanıcıya sahte "tarayıcı/yazılım güncellemesi" göstererek payload indirtir. WastedLocker ransomware ve BLISTER loader dağıtımında kullanılmıştır.

IOC

SHA2568f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2
C2editions.seattlemysterylovers.com (ele geçirilmiş)
AktörTA569 / FakeUpdates

SocGholish — マルウェアプロファイル

SocGholish FakeUpdates 2017. seattlemysterylovers.com ele gecirilmis kitabevi. 262 byte stager. CMS inject.

マルウェアの種類
Loader
プログラミング言語
JavaScript
C2プロトコル
HTTPS
標的システム
Kuresel Web Tarayıcı

機能と挙動

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOCリスト (1 件の指標)

IOC — SocGholish
# DOMAIN seattlemysterylovers.com
タイプメモ
domain seattlemysterylovers.com

C2サーバー (このファミリーで1台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
seattlemysterylovers.com domain 443 HTTPS active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
socgholishfakeupdates262-byte-stagerseattlemysteryloverscompromised-sitejavascript-loaderta569drive-by