Manuel Statik Analiz — ModiLoader | Tehdit: MITTEL
Datei Kimliği
| SHA256 | cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2 |
|---|---|
| Dateiname | TFG0890000001.exe (Lojistik Sevkiyat Kodu!) |
| Größe | 1.662.445 byte (1.59MB) |
| String Sayisi | 26.962 |
TFG0890000001.exe: Lojistik Sevkiyat Kodu Lürü
TFG0890000001.exe -- "TFG" = lojistik şirketi kodu veya fatura prefix -- "0890000001" = 10 haneli seri numara (önde sıfırlar) -- Format: [3 harf][10 rakam].exe = kurumsal belge formatı -- Teslimat lürü: "sevkiyat belgesi", "nakliye irsaliyesi" - Lojistik sektörü çalışanları → TFG numaralı belgeler bekliyor - E-posta ekinde .exe → "belgeyi açmak için..." tuzağı
Microsoft.TeamFoundation.WorkItemTracking: Azure DevOps SDK Gömülü
OLAĞANDIŞI C2 KANAL: Azure DevOps work item'ları C2 iletişimi için kullanılıyor olabilir!
Microsoft.TeamFoundation.WorkItemTracking.Client Microsoft.TeamFoundation.WorkItemTracking.Common Microsoft.TeamFoundation.WorkItemTracking.Common.DataStore Microsoft.TeamFoundation.WorkItemTracking.Common.Provision WorkItemStore WorkItemType WorkItemTypeCollection WorkItemLinkType get_WorkItemTypes LoadFieldIdsByWorkItemType -- Team Foundation Server = Microsoft'un ALM/DevOps platformu -- "WorkItemTracking" = proje yönetimi iş öğesi takip modülü -- ModiLoader bu kütüphaneyi neden gömüyor? - Meşru trafik kanalı: Azure DevOps → şirket firewall'larından geçer! - C2 mekanizması: Azure DevOps work item'ları → komutlar oluşturuluyor - Kurban → Azure DevOps API → saldırgan controlled project - Bu teknik: BazarLoader'ın Google Docs kullanmasına benzer! - "WorkItemStore.Query()" = C2'den komut çekme olabilir
MySql.Data.MySqlClient: MySQL .NET Konnektörü
MySql.Data MySqlConnection MySql.Data.MySqlClient -- MySQL .NET Connector gömülü! -- Olası kullanım: 1. Yerel veri kalıcılığı: çalınan kimlik bilgileri yerel DB'ye kaydediliyor 2. Uzak MySQL C2: saldırganın MySQL sunucusuna doğrudan bağlanıyor 3. Hedef ağda MySQL sunucu saldırısı -- Azure DevOps + MySQL kombinasyonu → çift C2 kanalı: - Azure DevOps: komut alımı (meşru görünümlü) - MySQL: veri gönderimi (hızlı, şifreli değil ama direkt)
IOC
| SHA256 | cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2 |
|---|---|
| Dateiname | TFG0890000001.exe |
ModiLoader — Malware-Profil
ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.
Malware-Typ
Loader
Programmiersprache
Delphi
C2-Protokoll
HTTP
Zielsysteme
Windows
Technische Details
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Fähigkeiten & Verhalten
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC-Liste (1 Indikatoren)
IOC — ModiLoader
# SHA256
cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b |