Manuel Statik Analiz — Squirrelwaffle Loader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 0278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f |
|---|---|
| Dosya Adı | test1.test.dll |
| Boyut | 458.218 byte |
| String Sayisi | 3.397 |
Şifreli C2 Config Fragmentleri
2C2n2*383 -- Şifreli C2 config alanı
2$2.282G2Q2c2{2 -- C2 config değeri
~[ZtRC2 -- C2 referansı
Squirrelwaffle Hakkında
Squirrelwaffle, 2021'den beri aktif loader ailesidir. Meşru web sitelerini ele geçirerek (ProxyLogon/ProxyShell) dağıtım için kullanır. XOR ile şifreli C2 yapılandırması ve hardcoded C2 IP listesi içerir. Qakbot ve Cobalt Strike gibi ikinci aşama araçlar yükler. İş konulu sahte yanıt e-postalarıyla (reply-chain hijacking) yayılır.
IOC
| SHA256 | 0278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f |
|---|
Squirrelwaffle — Malware Profili
Squirrelwaffle 2021 email thread hijacking loader. Exchange ProxyLogon/ProxyShell. Qakbot+CS dropper.
Malware Tipi
Loader
Programlama Dili
C++
C2 Protokolü
HTTPS
Hedef Sistemler
Kurumsal
Yetenekler ve Davranış
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC Listesi (1 gösterge)
IOC — Squirrelwaffle
# SHA256
0278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f
| Tür | Değer | Not |
|---|---|---|
| sha256 | 0278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f | len=63 |