Manuel Statik Analiz — Cl0p Linux ELF | Tehdit: KRITIK
Datei Kimliği
| SHA256 | 09d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dateiname | b6d2eae7413db11b4e6a8256ef.elf (Linux ELF binary!) |
| Größe | 1.250.347 byte (1.25MB ELF) |
| String Sayisi | 5.726 |
Tor Onion C2 URL
Gerçek C2 URL Tespit Edildi:
http://6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/93868e7... -- 62 karakter v3 Tor onion adresi -- /remote0/ = birincil komuta kanalı endpoint'i -- /93868e7... = kampanya/kurban kimlik hash'i
C2 Domainleri
inst.cc -- .cc Cocos Adaları TLD, 6 karakter kısa domain rsv-box.com -- "RSV" prefix (rezervasyon?) ile .com support-mult.com -- "çoklu destek" sahte teknik destek
Linux Cl0p Hakkında
Cl0p (TA505), Rusya merkezli ileri düzey tehdit aktörü. Başlangıçta Windows ransomware iken 2023'te Linux ve VMware ESXi versiyonları eklendi. MOVEit Transfer zafiyetini (CVE-2023-34362) büyük çaplı fidye saldırılarında kullandı. Kurumsal Linux sunucularını hedefler. Tor tabanlı müzakere altyapısı.
IOC
| SHA256 | 09d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Tor C2 | 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/ |
| C2 | inst.cc / rsv-box.com / support-mult.com |
Cl0p2 — Malware-Profil
Cl0p TA505 Rusya Linux ELF. inst.cc+rsv-box.com+support-mult.com C2. 62-char Tor onion. MOVEit CVE-2023-34362. VMware ESXi.
Malware-Typ
Ransomware
Programmiersprache
C
C2-Protokoll
HTTPS/Tor
Zielsysteme
Küresel Kurumsal
Fähigkeiten & Verhalten
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC-Liste (4 Indikatoren)
IOC — Cl0p2
# DOMAIN
6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion
# DOMAIN
inst.cc
# DOMAIN
rsv-box.com
# DOMAIN
support-mult.com
| Typ | Wert | Bemerkung |
|---|---|---|
| domain | 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion | |
| domain | inst.cc | |
| domain | rsv-box.com | |
| domain | support-mult.com |
C2-Server (3 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| inst.cc | domain | 443 | HTTPS | active | — |
| rsv-box.com | domain | 443 | HTTPS | inactive | — |
| support-mult.com | domain | 443 | HTTPS | inactive | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.