Manuel Statik Analiz — Phorpiex Botnet | Tehdit: KRITIK

Archivo Kimliği

SHA25612815f32a4ba6e897e3c5f1a4b9d8e2f7c0a3b6d9e1f4c7a0b2d5e8f1a4c6e9b
Tamaño113.664 byte
String Sayisi758

Açık Metin C2 Payload URL'leri -- DOGRULANMIS

KRITIK: Payload indirme URL'leri açık metin tespit edildi.
http://178.16.54.109/lb10.exe  -- Payload indirme C2 #1
http://178.16.54.109/lb11.exe  -- Payload indirme C2 #2
http://178.16.54.109/lb12      -- Payload indirme C2 #3

GeoIP Konumlama

ip-api.com  -- Kurban GeoIP konum tespiti

Phorpiex Hakkında

Phorpiex (Trik), 2016'dan beri aktif botnet ailesidir. Sextortion spam kampanyaları, kripto jacking ve ransomware (Avaddon, GandCrab) dağıtımı yapmaktadır. P2P ve HTTP C2 karışımı kullanır. lb*.exe pattern ile sıralı payload indirir.

IOC

SHA25612815f32a4ba6e897e3c5f1a4b9d8e2f7c0a3b6d9e1f4c7a0b2d5e8f1a4c6e9b
C2178.16.54.109
Payloadlb10.exe, lb11.exe, lb12

Phorpiex — Perfil del malware

Phorpiex/Trik botnet. 178.16.54.109 C2 IP. lb10/lb11/lb12 cok asamali payload. Spam + crypto mining + clipper.

Tipo de malware
Botnet
Lenguaje de programación
C++
Protocolo C2
HTTP/P2P
Sistemas objetivo
Kuresel

Capacidades y comportamiento

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Lista IOC (1 indicadores)

IOC — Phorpiex
# SHA256 12815f32a4ba6e897e3c5f1a4b9d8e2f7c0a3b6d9e1f4c7a0b2d5e8f1a4c6e9b
TipoValorNota
sha256 12815f32a4ba6e897e3c5f1a4b9d8e2f7c0a3b6d9e1f4c7a0b2d5e8f1a4c6e9b

Servidores C2 (4 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
178.16.54.109 ip — HTTP active —
178.16.54.109 ip 80 HTTP active —
178.16.54.109 ip 80 HTTP active —
178.16.54.109 ip 80 HTTP active —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
phorpiexcleartext-c2payload-urlgeolocationbotnet