Manuel Statik Analiz — IcedID | Tehdit: YUKSEK

Fichier Kimliği

SHA25617014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Nom du fichierinfo_IR-99661418.msi
Taille1.130.496 byte (1.1MB MSI)
String Sayisi5.745

Fatura Kopyası Lure

info_IR-99661418.msi
-- "IR" = Invoice Receipt (fatura makbuzu)
-- #99661418 = sekiz haneli belge seri numarası
-- "info_" prefix = "fatura bilgisi" iddiası
-- MSI = "yazılım kurulum" görünümlü teslimat
-- Finans/muhasebe personeli hedef alınıyor

C2 Domain: NSABX.GG

Aktif C2: NSABX.GG (.gg Guernsey TLD)!
NSABX.GG
-- .GG = Guernsey Crown bağlı bölge TLD'si (İngiltere)
-- 5 karakter rastgele: N-S-A-B-X (anlamsız kombinasyon)
-- .GG TLD ucuz ve kayıt kolay → saldırgan tercih ediyor
-- IcedID C2 kısa domain tercih eder: tespit/kara liste zor

Özel Sıkıştırma: cT_Gzip_Uncompress

cT_Gzip_Uncompress
-- IcedID özel Gzip sıkıştırma çözme rutini
-- "cT_" prefix = özel kütüphane/modül adlandırması
-- Payload/config şifreli + sıkıştırılmış şekilde gömülmüş
-- RtlLookupFunctionEntry: exception handler araştırması (anti-debug)

IcedID Hakkında

IcedID (BokBot) 2017'de banking trojan olarak başladı. TrickBot/Emotet'in yerini aldı. Cobalt Strike, Ryuk ve Conti için başlangıç vektörüdür. 2023'te IcedID Lite varyantı tespit edildi: ransomware dağıtımına odaklanmış daha küçük boyut. BackConnect proxy modülü ile ağ içinde yanal hareket sağlar.

IOC

SHA25617014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2NSABX.GG
Lureinfo_IR-99661418.msi (Invoice Receipt #99661418)

IcedID3 — Profil du malware

IcedID BokBot 2017. info_IR-99661418.msi fatura. NSABX.GG C2. cT_Gzip_Uncompress. CobaltStrike+Ryuk loader.

Type de malware
Loader
Langage de programmation
C
Protocole C2
HTTPS
Systèmes ciblés
Küresel Finans

Capacités et comportement

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Liste IOC (1 indicateurs)

IOC — IcedID3
# DOMAIN nsabx.gg
TypeValeurNote
domain nsabx.gg

Serveurs C2 (1 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
NSABX.GG domain 443 HTTPS inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
icedidinfo-ir-99661418-msiinvoice-receipt-lurensabx-gg-c2gg-tld-domaincustom-gziprtllookupfunctionentry