Manuel Statik Analiz — Socks5Systemz Proxy Botnet | Tehdit: ORTA

Dosya Kimliği

SHA2565550e9b063aa3dbf3482775b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut3.482.775 byte (3.4MB)
String Sayisi16.127

C2: Apfe.GG

C2 Tespit: Apfe.GG domain!
Apfe.GG
-- .GG = Guernsey TLD (gaming toplulukları + bazı kötü amaçlı aktörler)
-- "Apfe" = 4 karakter kısa domain (German: "Apfe" = informal "apple")
-- Botnet C2: enfekte makine komutları buradan alıyor
-- Socks5Systemz .gg TLD: gaming trafiğine karışma stratejisi

CIS Lokasyon Kontrolü (Ülke Bypass)

.DEFAULT\Control Panel\International
Control Panel\Desktop\ResourceLocale
-- .DEFAULT hive = oturum açmış kullanıcı bağımsız sistem locale
-- ResourceLocale = Windows dil/bölge kodu (0419 = Rusça, 0422 = Ukraynaca...)
-- Socks5Systemz Rusya/CIS ülkelerindeki sistemlere bulaşmıyor
-- Locale kontrolü → CIS ise → çıkış

Socks5Systemz Proxy Botnet Hakkında

Socks5Systemz 2013'ten beri aktif bir proxy botnet hizmetidir. Enfekte bilgisayarları SOCKS5 proxy ağına dahil eder. Siber suçlular günlük $1-140 ödeyerek bu proxy ağını kullanır. Trafik yönlendirme, phishing, spam ve fraud için kullanılır. 2023'te 250.000+ enfekte bilgisayar tespit edildi. Rusya/BDT ülkelerini atlıyor (geliştirici koruma).

IOC

SHA2565550e9b063aa3dbf3482775b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2Apfe.GG

Socks5Systemz — Malware Profili

Socks5Systemz 2013 proxy botnet. Apfe.GG C2. CIS locale bypass. 250K+ enfekte makine. SOCKS5 proxy satis.

Malware Tipi
Botnet
Programlama Dili
C++
C2 Protokolü
SOCKS5/HTTP
Hedef Sistemler
Küresel (BDT Haric)

Yetenekler ve Davranış

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC Listesi (1 gösterge)

IOC — Socks5Systemz
# DOMAIN apfe.gg
TürDeğerNot
domain apfe.gg

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
Apfe.GG domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
socks5systemzapfe-gg-c2gg-tldcis-locale-bypassdesktop-resourcelocaleproxy-botnetinfected-machine-proxy