Manuel Statik Analiz — IcedID | Tehdit: YUKSEK

Dosya Kimliği

SHA25617014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıinfo_IR-99661418.msi
Boyut1.130.496 byte (1.1MB MSI)
String Sayisi5.745

Fatura Kopyası Lure

info_IR-99661418.msi
-- "IR" = Invoice Receipt (fatura makbuzu)
-- #99661418 = sekiz haneli belge seri numarası
-- "info_" prefix = "fatura bilgisi" iddiası
-- MSI = "yazılım kurulum" görünümlü teslimat
-- Finans/muhasebe personeli hedef alınıyor

C2 Domain: NSABX.GG

Aktif C2: NSABX.GG (.gg Guernsey TLD)!
NSABX.GG
-- .GG = Guernsey Crown bağlı bölge TLD'si (İngiltere)
-- 5 karakter rastgele: N-S-A-B-X (anlamsız kombinasyon)
-- .GG TLD ucuz ve kayıt kolay → saldırgan tercih ediyor
-- IcedID C2 kısa domain tercih eder: tespit/kara liste zor

Özel Sıkıştırma: cT_Gzip_Uncompress

cT_Gzip_Uncompress
-- IcedID özel Gzip sıkıştırma çözme rutini
-- "cT_" prefix = özel kütüphane/modül adlandırması
-- Payload/config şifreli + sıkıştırılmış şekilde gömülmüş
-- RtlLookupFunctionEntry: exception handler araştırması (anti-debug)

IcedID Hakkında

IcedID (BokBot) 2017'de banking trojan olarak başladı. TrickBot/Emotet'in yerini aldı. Cobalt Strike, Ryuk ve Conti için başlangıç vektörüdür. 2023'te IcedID Lite varyantı tespit edildi: ransomware dağıtımına odaklanmış daha küçük boyut. BackConnect proxy modülü ile ağ içinde yanal hareket sağlar.

IOC

SHA25617014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2NSABX.GG
Lureinfo_IR-99661418.msi (Invoice Receipt #99661418)

IcedID3 — Malware Profili

IcedID BokBot 2017. info_IR-99661418.msi fatura. NSABX.GG C2. cT_Gzip_Uncompress. CobaltStrike+Ryuk loader.

Malware Tipi
Loader
Programlama Dili
C
C2 Protokolü
HTTPS
Hedef Sistemler
Küresel Finans

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — IcedID3
# DOMAIN nsabx.gg
TürDeğerNot
domain nsabx.gg

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
NSABX.GG domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
icedidinfo-ir-99661418-msiinvoice-receipt-lurensabx-gg-c2gg-tld-domaincustom-gziprtllookupfunctionentry