Dateiinformationen
| Eigenschaft | Wert |
|---|---|
| SHA256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 |
| MD5 | c932d4c3f54e3902d57abff3c58e09b6 |
| SHA1 | |
| Dateiname | file (Go binary, NjRAT etiketli) |
| Größe | 1,791,384 bytes |
| Architektur | x64 (amd64) |
| Kompilierungsdatum | Unbekannt |
| Packer | Tespit edilmedi |
| MB Erstsichtung | 2026-06-29 |
| MB-Tags | exe, njrat, d52f85, dropped-by-amadey |
Bedrohungsprofil
Familie: NjRAT Klassifizierung: HOCH Konfidenz: LOW
⚠️ ÖNEMLİ NOT: Bu örnek MalwareBazaar tarafından "njrat" olarak etiketlenmişse de statik analiz Golang ile yazılmış bir binary olduğunu ortaya koymaktadır. Strings analizinde "Go build ID: YD5mHnHgmfz77..." tespit edilmiş, klasik VB.NET/VB6 NjRAT imzaları bulunamamıştır. "dropped-by-amadey" ve "d52f85" etiketleri, bu örneğin Amadey Loader kampanyasının parçası olarak dağıtıldığını göstermektedir. Binwalk analizi mcrypt Blowfish-448 şifrelenmiş veri bölümü tespit etmiştir — C2 konfigürasyonu büyük ihtimalle burada saklanmaktadır. Etiket yanıltıcı olabilir; dinamik analiz önerilir.
Erkannte Fähigkeiten
- Remote Access (Amadey loader zincirinden)
- Ağ iletişimi (Go net paketi)
- Sistem bilgisi toplama
- C2 iletişimi (şifreli, tespit edilemedi)
Anti-Analiz Teknikleri
- Go binary obfuscation (rodata şifreli)
- MCrypt Blowfish-448 şifrelenmiş veri bölümü (binwalk tespiti)
Kalıcılık Mekanizmaları
Bilinmiyor (statik analizde tespit edilemedi)
Enjeksiyon Teknikleri
- Unbekannt
C2 Sunucuları
IOC Listesi
| Tip | Wert |
|---|---|
| sha256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 |
| md5 | c932d4c3f54e3902d57abff3c58e09b6 |
| domain | activeSweepmheap.fr |
| domain | atomic.Com |
| domain | bisect.de |
| domain | bits.Tr |
| domain | bytealg.Com |
| domain | cmp.Com |
| domain | destroy.fr |
| domain | dict.br |
| domain | dict.Com |
| domain | dict.me |
| domain | doSlow.de |
| domain | eq.io |
| domain | eq.reflect.me |
| domain | eq.reflect.Me |
| domain | eq.ru |
| domain | eq.runtime.Fr |
| domain | eq.runtime.tr |
| domain | eq.syscall.WS |
| domain | exithook.ru |
| domain | exithook.Ru |
| domain | exithook.Run.de |
| domain | Find.de |
| domain | flush.de |
| domain | fmtsort.com |
| domain | freemheap.fr |
| domain | godebug.ru |
| domain | godebugs.Info |
| domain | godebug.update.de |
| domain | handleMethods.de |
| domain | hash.ru |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
NjRAT — Malware-Profil
njRAT Bladabindi. Spanish cotizacion lure. get_Panel1 C2 panel. MENA + Latin America targeting.
Technische Details
TCP port 1177 (varsayilan), XOR tabanlı iletisim sifreleme, .NET Framework 2.0+, Mutex: {GUID}, Registry Run key persistence, Keylogger (GetAsyncKeyState), clipboard monitor, screenshot, remote shell, remote camera
Attribution / Bedrohungsakteur
Arap dilli siber suc topluluklari, en cok MENA (Orta Dogu ve Kuzey Afrika) bolgesindeki gruplar. Yasama savasi donemi Suriyeli gruplar tarafindan da kullanilmistir.
Fähigkeiten & Verhalten
IOC-Liste (5 Indikatoren)
# SHA256
a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677
# MD5
c932d4c3f54e3902d57abff3c58e09b6
# DOMAIN
eq.runtime.Fr
# DOMAIN
eq.runtime.tr
# DOMAIN
handleMethods.de
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 | |
| md5 | c932d4c3f54e3902d57abff3c58e09b6 | |
| domain | eq.runtime.Fr | |
| domain | eq.runtime.tr | |
| domain | handleMethods.de |
C2-Server (8 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| comodoca.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| comodoca.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.