Manuel Statik Analiz — AteraAgent (Meşru Araç Kötüye Kullanım) | Tehdit: YUKSEK

Dosya Kimliği

SHA25660241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adıhmlineear.msi (rastgele isim — AteraAgent MSI yükleyicisi)
Boyut8.597.504 byte (8.2MB MSI)
String Sayisi42.630

Meşru RMM Aracı Saldırısı: Living Off The Land

UYARI: AteraAgent = Meşru yazılım, ama saldırganlar tarafından kötüye kullanılıyor!
AteraAgent (Atera Networks) = Yasal IT yönetim aracı
-- Sistem yöneticileri tarafından BT desteği için kullanılıyor
-- Uzaktan dosya yönetimi, komut çalıştırma, süreç izleme
-- Antivirüs tarafından ENGELLENMEZ (imzalı, meşru yazılım!)
-- Saldırganlar: kurban makineye izinsiz AteraAgent kurar
   → 7/24 uzaktan erişim elde eder
   → AV/EDR alarm vermez
   → Kalıcılık: Windows Service olarak kurulur

MSI Yükleyici Detayları

hmlineear.msi — AteraAgent MSI paketi
-- "hmlineear" = rastgele karıştırılmış isim (kimlik gizleme)
-- İçindeki domain: ps.atera.com/installers/dotnet/NDP472-K...
-- .NET 4.7.2 gereksinimi: ps.atera.com'dan indirir
-- Kayıt URL: dot.net/v1/dotnet-install.ps1 (Microsoft .NET installer)
-- AteraAgent customer ID gömülü MSI içine → hangi saldırgan hesabına bağlanacağı

IOC

SHA25660241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
YöntemMeşru RMM aracı (AteraAgent) yetkisiz kurulum
TehlikeAV bypass + kalıcı uzaktan erişim

AteraRAT — Malware Profile

AteraAgent meşru RMM araci kötüye kullanim. Living off the land. AV bypass. hmlineear.msi randomize isim. ps.atera.com üzerinden kurulum.

Malware Type
RAT
Programming Language
Commercial RMM
C2 Protocol
HTTPS RMM
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — AteraRAT
# SHA256 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
ateraagentlegitimate-rmm-abusehmlineear-msidot-net-ps1-installerunauthorized-remote-accessliving-off-the-landrmm-trojanps-atera-com