Manuel Statik Analiz — Cl0p Linux ELF | Tehdit: KRITIK

Dosya Kimliği

SHA25609d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıb6d2eae7413db11b4e6a8256ef.elf (Linux ELF binary!)
Boyut1.250.347 byte (1.25MB ELF)
String Sayisi5.726

Tor Onion C2 URL

Gerçek C2 URL Tespit Edildi:
http://6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/93868e7...
-- 62 karakter v3 Tor onion adresi
-- /remote0/ = birincil komuta kanalı endpoint'i
-- /93868e7... = kampanya/kurban kimlik hash'i

C2 Domainleri

inst.cc           -- .cc Cocos Adaları TLD, 6 karakter kısa domain
rsv-box.com       -- "RSV" prefix (rezervasyon?) ile .com
support-mult.com  -- "çoklu destek" sahte teknik destek

Linux Cl0p Hakkında

Cl0p (TA505), Rusya merkezli ileri düzey tehdit aktörü. Başlangıçta Windows ransomware iken 2023'te Linux ve VMware ESXi versiyonları eklendi. MOVEit Transfer zafiyetini (CVE-2023-34362) büyük çaplı fidye saldırılarında kullandı. Kurumsal Linux sunucularını hedefler. Tor tabanlı müzakere altyapısı.

IOC

SHA25609d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Tor C26v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/
C2inst.cc / rsv-box.com / support-mult.com

Cl0p2 — Malware Profili

Cl0p TA505 Rusya Linux ELF. inst.cc+rsv-box.com+support-mult.com C2. 62-char Tor onion. MOVEit CVE-2023-34362. VMware ESXi.

Malware Tipi
Ransomware
Programlama Dili
C
C2 Protokolü
HTTPS/Tor
Hedef Sistemler
Küresel Kurumsal

Yetenekler ve Davranış

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC Listesi (4 gösterge)

IOC — Cl0p2
# DOMAIN 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion # DOMAIN inst.cc # DOMAIN rsv-box.com # DOMAIN support-mult.com
TürDeğerNot
domain 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion
domain inst.cc
domain rsv-box.com
domain support-mult.com

C2 Sunucuları (Bu aile için 3 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
inst.cc domain 443 HTTPS active —
rsv-box.com domain 443 HTTPS inactive —
support-mult.com domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
cl0plinux-elftor-onion-c2inst-ccrsv-box-comsupport-mult-comlinux-ransomware62-char-onion