Manuel Statik Analiz — GootKit | Tehdit: YUKSEK

Fichier Kimliği

SHA256f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nom du fichierRiba_domestic_building_contract_free_download (İngiltere mimarlik sozlesmesi!)
Taille143.744 byte (143KB)
String Sayisi3.166

İngiltere Hedefleme: RIBA Bina Sözleşmesi

UK Hedefleme: İngiliz mimarlık endüstrisi!
Riba_domestic_building_contract_free_download
-- RIBA = Royal Institute of British Architects (İngiliz Mimarlar Kraliyet Enstitüsü)
-- "domestic building contract" = yerleşim konutu yapı sözleşmesi
-- "free download" = ücretsiz PDF lürü
-- GootKit SEO poisoning: arama motorunda üst sıralarda görünür
-- "RIBA contract PDF indir" arayan İngiliz müteahhit/mimar → GootKit dropper

Altı .SU C2 Domaini

C2 TESPIT: Sovyet Birliği (.SU) TLD domainleri!
hex.su      shinezv.su
hxa.su      str.su
mode.su     value.su
-- .su = Sovyet Birliği TLD (hâlâ aktif, siber suçlar için çok kullanılıyor)
-- GootKit .su C2 altyapısı: 6 farklı domain = failover/yedekli yapı
-- "shinezv.su" = tesadüfi görünen (DGA-benzeri) → birincil C2
-- "hex/str/value" = programlama terimi — geliştirici içten kodlama

IOC

SHA256f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureRIBA UK building contract (SEO poisoning)
C2 Domainlerishinezv.su, hex.su, hxa.su, mode.su, str.su, value.su

GootKit — Profil du malware

GootKit GootLoader. RIBA UK construction seo poisoning. JS obfuscation. Stanford dead drop.

Type de malware
Backdoor
Langage de programmation
C++
Protocole C2
HTTPS .su
Systèmes ciblés
Küresel/UK

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (6 indicateurs)

IOC — GootKit
# DOMAIN hex.su # DOMAIN shinezv.su # DOMAIN hxa.su # DOMAIN str.su # DOMAIN mode.su # DOMAIN value.su
TypeValeurNote
domain hex.su
domain shinezv.su
domain hxa.su
domain str.su
domain mode.su
domain value.su

Serveurs C2 (1 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
shinezv.su domain 443 HTTPS inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
gootkitriba-building-contract-ukshinezv-su-c2hex-su-domainstr-su-domainmode-su-domainsoviet-union-su-tlduk-construction-targetingweb-inject