Manuel Statik Analiz — WarzoneRAT / AveMaria | Tehdit: YUKSEK

ファイル Kimliği

SHA25631e5881b79919c18e24b3c0da6b7f4e2a9c8d3b1e5f4a2c7e9b3d6f0a1c5e8b2
ファイル名Vvdsupbjet.exe
サイズ363.008 byte
String Sayisi1.858

Bitcoin Cüzdan Adresleri

Bitcoin cüzdanları tespit edildi — gaspatma aracı olabilir.
3RTQGYLSxTCktVeq4TikaIsizXQkLaeqQWz  -- BTC cüzdan #1
3XTxJKLblG2RJWPylTDAQdfaFTC8EfP3tej  -- BTC cüzdan #2

C2 Konfigürasyonu

YufC2  -- Şifreli C2 config fragmenti
CreateDecryptor / CreateEncryptor  -- .NET AES şifreleme

WarzoneRAT Hakkında

WarzoneRAT (AveMaria), 2018'den beri aktif C++ tabanlı RAT ailesidir. UAC bypass, HVNC, dosya/ekran, keylogger, şifre hırsızlığı ve kalıcılık özellikleri vardır. Çevrimiçi $250-$300/yıl abonelik ile satılır. Aynı zamanda "Ave Maria" olarak da bilinir.

IOC

SHA25631e5881b79919c18e24b3c0da6b7f4e2a9c8d3b1e5f4a2c7e9b3d6f0a1c5e8b2
BTC Cüzdan 13RTQGYLSxTCktVeq4TikaIsizXQkLaeqQWz
BTC Cüzdan 23XTxJKLblG2RJWPylTDAQdfaFTC8EfP3tej

WarzoneRAT — マルウェアプロファイル

WarzoneRAT Ave Maria RAT. 2026 itibariyla aktif. Tarih prefixli dagitim. Config karması 45A06E. Uclu anti-debug.

マルウェアの種類
RAT
プログラミング言語
C++
C2プロトコル
TCP
標的システム
Windows
別名 (AKA)
Ave Maria

技術詳細

C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli

アトリビューション / 脅威アクター

Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (1 件の指標)

IOC — WarzoneRAT
# SHA256 31e5881b79919c18e24b3c0da6b7f4e2a9c8d3b1e5f4a2c7e9b3d6f0a1c5e8b2
タイプメモ
sha256 31e5881b79919c18e24b3c0da6b7f4e2a9c8d3b1e5f4a2c7e9b3d6f0a1c5e8b2

C2サーバー (このファミリーで2台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
185.216.36.143 ip 4500 TCP inactive BG
cloudflareprotected.xyz domain 5200 TCP inactive RU

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
warzoneave-mariaratbtc-walletaesnet