Manuel Statik Analiz (LLM Okumali) — Gh0stRAT (Sanayi Spear-Phishing) | Tehdit: YUKSEK

Dosya Kimligi

SHA2566b05b09d13cbb81ab4246b98f35b49f6915d38dcf69eb3a9b6b7da6bcd28e55a
Arsiv AdiIndustrial_Safety_and_Risk_Management_in_the_Industrial_Sector_Online.rar
Boyut19.655.412 byte (19MB RAR arsivi)
String Sayisi92.675 (cok buyuk arsiv)

Spear-Phishing Yem Analizi

Hedef Odakli Sosyal Muhendislik: "Endustriyel Guvenlik ve Risk Yonetimi Online" konulu bir teknik belge gibi gozukan bu RAR arsivi, sanayi sektoru calisanlarini hedefliyor. Bu tur yemleri APT (Gelismis Kalici Tehdit) gruplarinin klasik taktigidir.

Gh0stRAT Yetenekleri

ModulFonksiyon
KeyloggerTum tus basimlarini kayit
Screen CapturePeriyodik ekran goruntusu
WebcamKamera goruntuleme
ShellUzaktan komut satiri
Dosya YonetimiUpload/download, dizin listeleme
RegistryRegistry okuma/yazma
NetworkAg bilgisi ve baglanti izleme

Gh0stRAT Hakkinda

Gh0stRAT, C++ ile yazilmis acik kaynak bir RAT ailesidir. Cin'de gelistirilmis ve 2008 yilindan bu yana bircok APT grubu tarafindan kullanilmaktadir. "GH0ST" sihirli paketi ile taninir. Kulturel ve siyasi hedeflere yonelik casusluk operasyonlarinda sikca gorulur.

IOC

SHA2566b05b09d13cbb81ab4246b98f35b49f6915d38dcf69eb3a9b6b7da6bcd28e55a
YemIndustrial Safety RAR (19MB)
C2Sifrelenmis (GH0ST paket protokol)

Gh0stRAT — Malware Profili

Gh0stRAT C.Rufus Security Team 2008 Cin. QQ語音神器 Cinli kullanici lure. Magic header 5 byte. APT1/APT10/APT41.

Malware Tipi
RAT
Programlama Dili
C++
C2 Protokolü
TCP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
Ghost RAT

Teknik Detaylar

C++, ozel binary protokol, TCP port 2008/2009/443 (varyanta gore), anti-debug, keylogger, screen capture, process killer, file manager, remote shell

Atıf / Tehdit Aktörü

Cin kokenli; bazi APT gruplari (APT10, APT40, Mustang Panda) tarafindan kullanilmaktadir. Kaynak kodu yayilmisindan bu yana global kullanim yayginlasmistir.

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — Gh0stRAT
# SHA256 6b05b09d13cbb81ab4246b98f35b49f6915d38dcf69eb3a9b6b7da6bcd28e55a
TürDeğerNot
sha256 6b05b09d13cbb81ab4246b98f35b49f6915d38dcf69eb3a9b6b7da6bcd28e55a
Etiketler
gh0stratspear-phishingrarsanayiindustrial-safetyapthedef-odakli