Manuel Statik Analiz — GootKit | Tehdit: YUKSEK

Archivo Kimliği

SHA256f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nombre de archivoRiba_domestic_building_contract_free_download (İngiltere mimarlik sozlesmesi!)
Tamaño143.744 byte (143KB)
String Sayisi3.166

İngiltere Hedefleme: RIBA Bina Sözleşmesi

UK Hedefleme: İngiliz mimarlık endüstrisi!
Riba_domestic_building_contract_free_download
-- RIBA = Royal Institute of British Architects (İngiliz Mimarlar Kraliyet Enstitüsü)
-- "domestic building contract" = yerleşim konutu yapı sözleşmesi
-- "free download" = ücretsiz PDF lürü
-- GootKit SEO poisoning: arama motorunda üst sıralarda görünür
-- "RIBA contract PDF indir" arayan İngiliz müteahhit/mimar → GootKit dropper

Altı .SU C2 Domaini

C2 TESPIT: Sovyet Birliği (.SU) TLD domainleri!
hex.su      shinezv.su
hxa.su      str.su
mode.su     value.su
-- .su = Sovyet Birliği TLD (hâlâ aktif, siber suçlar için çok kullanılıyor)
-- GootKit .su C2 altyapısı: 6 farklı domain = failover/yedekli yapı
-- "shinezv.su" = tesadüfi görünen (DGA-benzeri) → birincil C2
-- "hex/str/value" = programlama terimi — geliştirici içten kodlama

IOC

SHA256f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureRIBA UK building contract (SEO poisoning)
C2 Domainlerishinezv.su, hex.su, hxa.su, mode.su, str.su, value.su

GootKit — Perfil del malware

GootKit GootLoader. RIBA UK construction seo poisoning. JS obfuscation. Stanford dead drop.

Tipo de malware
Backdoor
Lenguaje de programación
C++
Protocolo C2
HTTPS .su
Sistemas objetivo
Küresel/UK

Capacidades y comportamiento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (6 indicadores)

IOC — GootKit
# DOMAIN hex.su # DOMAIN shinezv.su # DOMAIN hxa.su # DOMAIN str.su # DOMAIN mode.su # DOMAIN value.su
TipoValorNota
domain hex.su
domain shinezv.su
domain hxa.su
domain str.su
domain mode.su
domain value.su

Servidores C2 (1 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
shinezv.su domain 443 HTTPS inactive —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
gootkitriba-building-contract-ukshinezv-su-c2hex-su-domainstr-su-domainmode-su-domainsoviet-union-su-tlduk-construction-targetingweb-inject