Manuel Statik Analiz — Cl0p Linux ELF | Tehdit: KRITIK

Dosya Kimliği

SHA25609d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıb6d2eae7413db11b4e6a8256ef.elf (Linux ELF binary!)
Boyut1.250.347 byte (1.25MB ELF)
String Sayisi5.726

Tor Onion C2 URL

Gerçek C2 URL Tespit Edildi:
http://6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/93868e7...
-- 62 karakter v3 Tor onion adresi
-- /remote0/ = birincil komuta kanalı endpoint'i
-- /93868e7... = kampanya/kurban kimlik hash'i

C2 Domainleri

inst.cc           -- .cc Cocos Adaları TLD, 6 karakter kısa domain
rsv-box.com       -- "RSV" prefix (rezervasyon?) ile .com
support-mult.com  -- "çoklu destek" sahte teknik destek

Linux Cl0p Hakkında

Cl0p (TA505), Rusya merkezli ileri düzey tehdit aktörü. Başlangıçta Windows ransomware iken 2023'te Linux ve VMware ESXi versiyonları eklendi. MOVEit Transfer zafiyetini (CVE-2023-34362) büyük çaplı fidye saldırılarında kullandı. Kurumsal Linux sunucularını hedefler. Tor tabanlı müzakere altyapısı.

IOC

SHA25609d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Tor C26v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/
C2inst.cc / rsv-box.com / support-mult.com

Cl0p2 — Malware Profile

Cl0p TA505 Rusya Linux ELF. inst.cc+rsv-box.com+support-mult.com C2. 62-char Tor onion. MOVEit CVE-2023-34362. VMware ESXi.

Malware Type
Ransomware
Programming Language
C
C2 Protocol
HTTPS/Tor
Target Systems
Küresel Kurumsal

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (4 indicators)

IOC — Cl0p2
# DOMAIN 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion # DOMAIN inst.cc # DOMAIN rsv-box.com # DOMAIN support-mult.com
TypeValueNote
domain 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion
domain inst.cc
domain rsv-box.com
domain support-mult.com

C2 Servers (3 recorded servers for this family)

Address Type Port Protocol Status Country
inst.cc domain 443 HTTPS active —
rsv-box.com domain 443 HTTPS inactive —
support-mult.com domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
cl0plinux-elftor-onion-c2inst-ccrsv-box-comsupport-mult-comlinux-ransomware62-char-onion