Manuel Statik Analiz — ModiLoader | Tehdit: ORTA

Dosya Kimliği

SHA256cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2
Dosya AdıTFG0890000001.exe (Lojistik Sevkiyat Kodu!)
Boyut1.662.445 byte (1.59MB)
String Sayisi26.962

TFG0890000001.exe: Lojistik Sevkiyat Kodu Lürü

TFG0890000001.exe
-- "TFG" = lojistik şirketi kodu veya fatura prefix
-- "0890000001" = 10 haneli seri numara (önde sıfırlar)
-- Format: [3 harf][10 rakam].exe = kurumsal belge formatı
-- Teslimat lürü: "sevkiyat belgesi", "nakliye irsaliyesi"
  - Lojistik sektörü çalışanları → TFG numaralı belgeler bekliyor
  - E-posta ekinde .exe → "belgeyi açmak için..." tuzağı

Microsoft.TeamFoundation.WorkItemTracking: Azure DevOps SDK Gömülü

OLAĞANDIŞI C2 KANAL: Azure DevOps work item'ları C2 iletişimi için kullanılıyor olabilir!
Microsoft.TeamFoundation.WorkItemTracking.Client
Microsoft.TeamFoundation.WorkItemTracking.Common
Microsoft.TeamFoundation.WorkItemTracking.Common.DataStore
Microsoft.TeamFoundation.WorkItemTracking.Common.Provision
WorkItemStore
WorkItemType
WorkItemTypeCollection
WorkItemLinkType
get_WorkItemTypes
LoadFieldIdsByWorkItemType
-- Team Foundation Server = Microsoft'un ALM/DevOps platformu
-- "WorkItemTracking" = proje yönetimi iş öğesi takip modülü
-- ModiLoader bu kütüphaneyi neden gömüyor?
  - Meşru trafik kanalı: Azure DevOps → şirket firewall'larından geçer!
  - C2 mekanizması: Azure DevOps work item'ları → komutlar oluşturuluyor
  - Kurban → Azure DevOps API → saldırgan controlled project
  - Bu teknik: BazarLoader'ın Google Docs kullanmasına benzer!
  - "WorkItemStore.Query()" = C2'den komut çekme olabilir

MySql.Data.MySqlClient: MySQL .NET Konnektörü

MySql.Data
MySqlConnection
MySql.Data.MySqlClient
-- MySQL .NET Connector gömülü!
-- Olası kullanım:
  1. Yerel veri kalıcılığı: çalınan kimlik bilgileri yerel DB'ye kaydediliyor
  2. Uzak MySQL C2: saldırganın MySQL sunucusuna doğrudan bağlanıyor
  3. Hedef ağda MySQL sunucu saldırısı
-- Azure DevOps + MySQL kombinasyonu → çift C2 kanalı:
  - Azure DevOps: komut alımı (meşru görünümlü)
  - MySQL: veri gönderimi (hızlı, şifreli değil ama direkt)

IOC

SHA256cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2
Dosya AdıTFG0890000001.exe

ModiLoader — Malware Profili

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

Malware Tipi
Loader
Programlama Dili
Delphi
C2 Protokolü
HTTP
Hedef Sistemler
Windows

Teknik Detaylar

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — ModiLoader
# SHA256 cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
TürDeğerNot
sha256 cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
Etiketler
modiloadermodi-loadertfg0890000001-exe-logistics-shipping-code-luremicrosoft-teamfoundation-workitemtracking-azure-devops-sdk-embeddedmysql-data-mysqlclient-mysql-connectionazure-devops-work-item-c2-channelmysql-net-connector-embedded