Manuel Statik Analiz — AZORult | Tehdit: YUKSEK

Dosya Kimliği

SHA256738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2
Boyut143.360 byte
String Sayisi1.193

Şifreli C2 Config Fragmenti

9|l0c2-   -- Şifreli C2 adresi fragmenti

Registry Kalicilik

RegCreateKeyExW  -- Registry yazma (kalicilik icin)

AZORult Hakkinda

AZORult, 2016'dan beri aktif Rus yapimi C++ infostealer ailesidir. Tarayici sifreleri, email kimlik bilgileri, FTP, kripto cuzdan ve sistem bilgisi calar. HTTP POST ile sifreli C2'ye veri gonderir. 2019'da sIzdirildiktan sonra genis yayilim kazanmistir.

IOC

SHA256738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2
KalicilikRegCreateKeyExW

AZORult — Malware Profili

AZORult, 2016 dan beri aktif Rus yapimi C++ infostealer ailesidir. Tarayici sifreleri, email, FTP, kripto cuzdan. 2019 sızdırılmıstır.

Malware Tipi
Infostealer
Programlama Dili
Delphi
C2 Protokolü
HTTP
Hedef Sistemler
Windows

Teknik Detaylar

C++, HTTP POST C2, browser credential theft (Chromium/Firefox), cookie theft, cryptocurrency wallet stealer, Steam session stealer, screenshot, clipboard monitor, downloader capability

Yetenekler ve Davranış

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC Listesi (1 gösterge)

IOC — AZORult
# SHA256 738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2
TürDeğerNot
sha256 738e40cdc0c1cd12e2f3b5a7d4e8c6f1a9b0d3e7f5c2a4b6d8f0e1c3a5b7d9f2

C2 Sunucuları (Bu aile için 4 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
ip-api.com domain 80 HTTP active —
azorult-panel.ru domain 80 HTTP inactive RU
176.109.116.153 ip 80 HTTP inactive UA
dotbit.me domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
azorultinfostealerregistry-persistenceencrypted-c2config