Manuel Statik Analiz — Cl0p Linux ELF | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 09d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | b6d2eae7413db11b4e6a8256ef.elf (Linux ELF binary!) |
| Boyut | 1.250.347 byte (1.25MB ELF) |
| String Sayisi | 5.726 |
Tor Onion C2 URL
Gerçek C2 URL Tespit Edildi:
http://6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/93868e7... -- 62 karakter v3 Tor onion adresi -- /remote0/ = birincil komuta kanalı endpoint'i -- /93868e7... = kampanya/kurban kimlik hash'i
C2 Domainleri
inst.cc -- .cc Cocos Adaları TLD, 6 karakter kısa domain rsv-box.com -- "RSV" prefix (rezervasyon?) ile .com support-mult.com -- "çoklu destek" sahte teknik destek
Linux Cl0p Hakkında
Cl0p (TA505), Rusya merkezli ileri düzey tehdit aktörü. Başlangıçta Windows ransomware iken 2023'te Linux ve VMware ESXi versiyonları eklendi. MOVEit Transfer zafiyetini (CVE-2023-34362) büyük çaplı fidye saldırılarında kullandı. Kurumsal Linux sunucularını hedefler. Tor tabanlı müzakere altyapısı.
IOC
| SHA256 | 09d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Tor C2 | 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/ |
| C2 | inst.cc / rsv-box.com / support-mult.com |
Cl0p2 — Malware Profile
Cl0p TA505 Rusya Linux ELF. inst.cc+rsv-box.com+support-mult.com C2. 62-char Tor onion. MOVEit CVE-2023-34362. VMware ESXi.
Malware Type
Ransomware
Programming Language
C
C2 Protocol
HTTPS/Tor
Target Systems
Küresel Kurumsal
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (4 indicators)
IOC — Cl0p2
# DOMAIN
6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion
# DOMAIN
inst.cc
# DOMAIN
rsv-box.com
# DOMAIN
support-mult.com
| Type | Value | Note |
|---|---|---|
| domain | 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion | |
| domain | inst.cc | |
| domain | rsv-box.com | |
| domain | support-mult.com |
C2 Servers (3 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| inst.cc | domain | 443 | HTTPS | active | — |
| rsv-box.com | domain | 443 | HTTPS | inactive | — |
| support-mult.com | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.