Manuel Statik Analiz — GootKit | Tehdit: YUKSEK

Datei Kimliği

SHA256f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DateinameRiba_domestic_building_contract_free_download (İngiltere mimarlik sozlesmesi!)
Größe143.744 byte (143KB)
String Sayisi3.166

İngiltere Hedefleme: RIBA Bina Sözleşmesi

UK Hedefleme: İngiliz mimarlık endüstrisi!
Riba_domestic_building_contract_free_download
-- RIBA = Royal Institute of British Architects (İngiliz Mimarlar Kraliyet Enstitüsü)
-- "domestic building contract" = yerleşim konutu yapı sözleşmesi
-- "free download" = ücretsiz PDF lürü
-- GootKit SEO poisoning: arama motorunda üst sıralarda görünür
-- "RIBA contract PDF indir" arayan İngiliz müteahhit/mimar → GootKit dropper

Altı .SU C2 Domaini

C2 TESPIT: Sovyet Birliği (.SU) TLD domainleri!
hex.su      shinezv.su
hxa.su      str.su
mode.su     value.su
-- .su = Sovyet Birliği TLD (hâlâ aktif, siber suçlar için çok kullanılıyor)
-- GootKit .su C2 altyapısı: 6 farklı domain = failover/yedekli yapı
-- "shinezv.su" = tesadüfi görünen (DGA-benzeri) → birincil C2
-- "hex/str/value" = programlama terimi — geliştirici içten kodlama

IOC

SHA256f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureRIBA UK building contract (SEO poisoning)
C2 Domainlerishinezv.su, hex.su, hxa.su, mode.su, str.su, value.su

GootKit — Malware-Profil

GootKit GootLoader. RIBA UK construction seo poisoning. JS obfuscation. Stanford dead drop.

Malware-Typ
Backdoor
Programmiersprache
C++
C2-Protokoll
HTTPS .su
Zielsysteme
Küresel/UK

Fähigkeiten & Verhalten

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC-Liste (6 Indikatoren)

IOC — GootKit
# DOMAIN hex.su # DOMAIN shinezv.su # DOMAIN hxa.su # DOMAIN str.su # DOMAIN mode.su # DOMAIN value.su
TypWertBemerkung
domain hex.su
domain shinezv.su
domain hxa.su
domain str.su
domain mode.su
domain value.su

C2-Server (1 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
shinezv.su domain 443 HTTPS inactive —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
gootkitriba-building-contract-ukshinezv-su-c2hex-su-domainstr-su-domainmode-su-domainsoviet-union-su-tlduk-construction-targetingweb-inject