Manuel Statik Analiz — Socks5Systemz Proxy Botnet | Tehdit: MOYEN

Fichier Kimliği

SHA2565550e9b063aa3dbf3482775b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Taille3.482.775 byte (3.4MB)
String Sayisi16.127

C2: Apfe.GG

C2 Tespit: Apfe.GG domain!
Apfe.GG
-- .GG = Guernsey TLD (gaming toplulukları + bazı kötü amaçlı aktörler)
-- "Apfe" = 4 karakter kısa domain (German: "Apfe" = informal "apple")
-- Botnet C2: enfekte makine komutları buradan alıyor
-- Socks5Systemz .gg TLD: gaming trafiğine karışma stratejisi

CIS Lokasyon Kontrolü (Ülke Bypass)

.DEFAULT\Control Panel\International
Control Panel\Desktop\ResourceLocale
-- .DEFAULT hive = oturum açmış kullanıcı bağımsız sistem locale
-- ResourceLocale = Windows dil/bölge kodu (0419 = Rusça, 0422 = Ukraynaca...)
-- Socks5Systemz Rusya/CIS ülkelerindeki sistemlere bulaşmıyor
-- Locale kontrolü → CIS ise → çıkış

Socks5Systemz Proxy Botnet Hakkında

Socks5Systemz 2013'ten beri aktif bir proxy botnet hizmetidir. Enfekte bilgisayarları SOCKS5 proxy ağına dahil eder. Siber suçlular günlük $1-140 ödeyerek bu proxy ağını kullanır. Trafik yönlendirme, phishing, spam ve fraud için kullanılır. 2023'te 250.000+ enfekte bilgisayar tespit edildi. Rusya/BDT ülkelerini atlıyor (geliştirici koruma).

IOC

SHA2565550e9b063aa3dbf3482775b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2Apfe.GG

Socks5Systemz — Profil du malware

Socks5Systemz 2013 proxy botnet. Apfe.GG C2. CIS locale bypass. 250K+ enfekte makine. SOCKS5 proxy satis.

Type de malware
Botnet
Langage de programmation
C++
Protocole C2
SOCKS5/HTTP
Systèmes ciblés
Küresel (BDT Haric)

Capacités et comportement

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Liste IOC (1 indicateurs)

IOC — Socks5Systemz
# DOMAIN apfe.gg
TypeValeurNote
domain apfe.gg

Serveurs C2 (1 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
Apfe.GG domain 443 HTTPS inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
socks5systemzapfe-gg-c2gg-tldcis-locale-bypassdesktop-resourcelocaleproxy-botnetinfected-machine-proxy