Manuel Statik Analiz — LimeRAT | Tehdit: MOYEN
Fichier Kimliği
| SHA256 | 940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Nom du fichier | kalyanonlinematkaapp.exe |
| Taille | 399.872 byte (399KB) |
| String Sayisi | 362 (çok az — yoğun obfuskasyon) |
Hindistan Kalyan Matka Kumar Lure
Bölgesel Hedefleme: Hint yasadışı kumar uygulaması kılığı!
kalyanonlinematkaapp.exe -- "Kalyan" = Mumbai'nin Kalyan şehri (Hindistan) -- "Matka" = Hint yasadışı piyango oyunu (çevrimiçi ve fiziksel) -- "OnlineMatka" = yasadışı Matka çevrimiçi versiyonu -- Kumar/piyango kullanıcılarını hedef alan Güney Asya kampanyası -- Benzer hedefleme: LimeRAT'ın Hindistan odaklı kampanyaları
C2: Gambling Sitesi Domaininde Gizli
https://kalyanonlinematkaapp.in.net/tai-app-kubet/ -- .in.net = Hindistan (.in) TLD taklit + .net kombine (meşru değil) -- "tai-app-kubet" = Taylandlı online casino "KUBET" uygulaması -- Hem Hint hem Vietnam/Tayland kumar markaları bir arada! -- Kumar sitesi domain'i C2 adresi olarak kullanılıyor
VM Tespiti
vmware -- VMware sanal makine adı \vboxhook.dll -- VirtualBox hook DLL kontrolü -- İki farklı VM platformu tespit ediliyor
IOC
| SHA256 | 940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | kalyanonlinematkaapp.in.net |
| Lure | kalyanonlinematkaapp.exe (Hint Kumar Uygulaması) |
LimeRAT2 — Profil du malware
LimeRAT 2019 .NET. kalyanonlinematkaapp.exe Hint Kalyan Matka kumar kılık. kubet C2. VM detect vmware+vboxhook.
Type de malware
RAT
Langage de programmation
C#/.NET
Protocole C2
HTTP
Systèmes ciblés
Güney Asya
Capacités et comportement
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Liste IOC (1 indicateurs)
IOC — LimeRAT2
# DOMAIN
in.net
| Type | Valeur | Note |
|---|---|---|
| domain | in.net |
Serveurs C2 (1 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| kalyanonlinematkaapp.in.net | domain | 443 | HTTPS | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.