Manuel Statik Analiz — SocGholish JavaScript Stager | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2 |
|---|---|
| Größe | 262 byte — İnsan gözüyle okunabilir JS stager! |
| String Sayisi | 1 (tek URL) |
Ele Geçirilmiş Web Sitesi — Seattle Mystery Lovers Kitabevi
Teknik: SocGholish meşru ve güvenilir web sitelerine enjekte ediliyor — kullanıcılar güvendikleri web sitelerini ziyaret ederek enfekte oluyor!
https://editions.seattlemysterylovers.com/I8l9JljrHk9H60cUFvxRBFHrRwRLqxNHRq4MU025Dkl -- seattlemysterylovers.com = gerçek Seattle Mystery Lovers kitabevi -- /editions/ alt dizininde zararlı JS enjekte edilmiş -- Rastgele görünen URL yolu = gizlenmiş payload endpoint -- 262 byte = minimal izlenimi bırakacak kadar küçük
SocGholish (FakeUpdates) Hakkında
SocGholish, TA569 tehdit aktörünün yönettiği drive-by download kampanyasıdır. Meşru web sitelerine zararlı JS enjekte eder ve kullanıcıya sahte "tarayıcı/yazılım güncellemesi" göstererek payload indirtir. WastedLocker ransomware ve BLISTER loader dağıtımında kullanılmıştır.
IOC
| SHA256 | 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902xx1c4f7a0d3e6b9c2 |
|---|---|
| C2 | editions.seattlemysterylovers.com (ele geçirilmiş) |
| Aktör | TA569 / FakeUpdates |
SocGholish — Malware-Profil
SocGholish FakeUpdates 2017. seattlemysterylovers.com ele gecirilmis kitabevi. 262 byte stager. CMS inject.
Malware-Typ
Loader
Programmiersprache
JavaScript
C2-Protokoll
HTTPS
Zielsysteme
Kuresel Web Tarayıcı
Fähigkeiten & Verhalten
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC-Liste (1 Indikatoren)
IOC — SocGholish
# DOMAIN
seattlemysterylovers.com
| Typ | Wert | Bemerkung |
|---|---|---|
| domain | seattlemysterylovers.com |
C2-Server (1 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| seattlemysterylovers.com | domain | 443 | HTTPS | active | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.