Manuel Statik Analiz — Carbanak APT | Tehdit: KRITIK

Dosya Kimligi

SHA2561627864360a89600e65909cd1ef8af371c10c1eec430c56a9c3c9d38b11a9b3
Dosya Adiout.dll
Boyut449.686 byte
String Sayisi2.477

Svchost Injection Kaniti

SvchostInjector.x64.dll    -- DLL injection modul ismi
svchost.exe                -- Injection hedef process
-- svchost.exe icine gizlenerek process gizleme

C2 Konfigurasyonu

ukc2a7qgRRR   -- Sifrelenmis C2 config string

Carbanak Hakkinda

Carbanak (Anunak, FIN7), 2013'ten beri aktif olan Rusya mensel finans odakli APT grubudur. Bankalari ve perakendecileri hedefleyen bu grup, RDPli saldirilar, svchost injection, POS terminal verisi calma ve SWIFT sistemi hilesi ile toplam 1 milyar USD uzerinde hasar vermistir. 2018'de lider tutuklanmis ancak FIN7 faaliyetleri devam etmistir.

IOC

SHA2561627864360a89600e65909cd1ef8af371c10c1eec430c56a9c3c9d38b11a9b3
Injectionsvchost.exe (SvchostInjector.x64.dll)
C2ukc2a7qgRRR (sifrelenmis)

Carbanak — Malware Profili

Carbanak (FIN7/Anunak) finansal APT. 1 milyar dolar soygun. ATM cashout, SWIFT fraud. Rusya kaynaklı.

Malware Tipi
Other
Programlama Dili
C++
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
FIN7

Yetenekler ve Davranış

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC Listesi (1 gösterge)

IOC — Carbanak
# SHA256 1627864360a89600e65909cd1ef8af371c10c1eec430c56a9c3c9d38b11a9b3
TürDeğerNot
sha256 1627864360a89600e65909cd1ef8af371c10c1eec430c56a9c3c9d38b11a9b3 len=63
Etiketler
carbanakaptsvchost-injectiondll-injectionlolbasfinans