Hash / InfoWert
SHA2562d6981b3de1f4c1020d394446989ddd796b5cd8b42f1ff6c37309674e2fc3e5c
MD59f15b5ad8082df903768068cd890d240
SHA164942aee0a147bccec26bd40d4e56938ab3e82ec
Datei Adidetect7.txt.ps1
Dateitypps1
Größe665 bytes
Erstsichtung2021-03-17

Tehdit Wertlendirmesi

Bu ornek, saldırganlara ele gecirilen sistemler uzerinde tam uzaktan kontrol imkani sunan bir RAT (Uzaktan Erisim Trojanı) olarak tespit edilmistir. Keylogging, ekran goruntüsü alma, dosya yonetimi ve kabuk erisimi gibi kapsamlı gozetleme yeteneklerine sahiptir.

Erkannte Fähigkeiten

  • Uzaktan Erisim
  • Keylogging
  • Ekran Goruntüsü
  • Datei Yonetimi
  • Kabuk Erisimi

MalwareBazaar-Tags

aggahavemariaAveMariaRATGorgonGroupRAT

Analysehinweis

Bu ornek WarzoneRAT ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

WarzoneRAT — Malware-Profil

WarzoneRAT Ave Maria RAT. 2026 itibariyla aktif. Tarih prefixli dagitim. Config karması 45A06E. Uclu anti-debug.

Malware-Typ
RAT
Programmiersprache
C++
C2-Protokoll
TCP
Zielsysteme
Windows
Auch bekannt als (AKA)
Ave Maria

Technische Details

C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli

Attribution / Bedrohungsakteur

Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.

Fähigkeiten & Verhalten

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC-Liste (2 Indikatoren)

IOC — WarzoneRAT
# SHA256 2d6981b3de1f4c1020d394446989ddd796b5cd8b42f1ff6c37309674e2fc3e5c # MD5 9f15b5ad8082df903768068cd890d240
TypWertBemerkung
sha256 2d6981b3de1f4c1020d394446989ddd796b5cd8b42f1ff6c37309674e2fc3e5c
md5 9f15b5ad8082df903768068cd890d240

C2-Server (2 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
185.216.36.143 ip 4500 TCP inactive BG
cloudflareprotected.xyz domain 5200 TCP inactive RU

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
aggahavemariaAveMariaRATGorgonGroupRAT