Manuel Statik Analiz — Rhadamanthys Stealer | Tehdit: KRITIK

Dosya Kimliği

SHA256a793c1a77afeb7d8171520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adımetacore-loader.exe ("meta core" yükleyici kisvesi)
Boyut171.520 byte
String Sayisi1.176

Doğrudan IP:Port C2

C2: Domain yerine ham IP adresi — DNS kaydı gerektirmez, domain takedown'a karşı dayanıklı!
http://176.46.152.62     -- Ham IP C2 (HTTP)
176.46.152.62:5858       -- Port 5858 özel protokol
-- Port 5858: Rhadamanthys'in tescil dışı C2 portu
-- Ham IP: Domain tabanlı engelleme atlatma

Rhadamanthys Hakkında

Rhadamanthys, 2022'de C++ ile yazılan ve plugin tabanlı mimariye sahip gelişmiş infostealer'dır. $250-550 arasında fiyatlandırılan MaaS modeliyle çalışır. Clipper, DLL inject ve process injection özellikleri içerir. Windows Defender dışlama listeleri ekler.

IOC

SHA256a793c1a77afeb7d8171520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2 IP176.46.152.62:5858

Rhadamanthys3 — Malware Profili

Rhadamanthys C++ plugin MaaS 2022. $250-550. Direct IP C2. metacore-loader. Port 5858.

Malware Tipi
Infostealer
Programlama Dili
C++
C2 Protokolü
HTTP
Hedef Sistemler
Kuresel

Yetenekler ve Davranış

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC Listesi (1 gösterge)

IOC — Rhadamanthys3
# IP 176.46.152.62
TürDeğerNot
ip 176.46.152.62

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
176.46.152.62 ip 5858 HTTP inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
rhadamanthysmetacore-loaderdirect-ip-c2port-5858anti-debugstealer-framework