Manuel Statik Analiz — CrimsonRAT / APT36 (Transparent Tribe) | Tehdit: KRITIK

Dosya Kimliği

SHA2568690354fb8a8e6404784128b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıInvitation-Letter-Fazel-Mumbai-House-ICWA-Jun-...
Boyut4.784.128 byte (4.7MB)
String Sayisi25.344

Hindistan Diplomatik Hedefleme

APT36 Transparent Tribe: Pakistan bağlantılı tehdit aktörü Hindistan hükümeti ve diplomatik kurumları hedefler!
Invitation-Letter-Fazel-Mumbai-House-ICWA-Jun-...
-- ICWA = Indian Council of World Affairs (Hindistan Dünya İşleri Konseyi)
-- Mumbai House = New Delhi'deki önemli tarihi bina (Hindistan Yüksek Komiserliği)
-- Fazel = Tariq Fazel (Bangladeşli/Pakis diplomatik isim)
-- "Jun" = Haziran ay (tarihlendirilmiş hedefli saldırı)
-- Diplomatik personel ve ICWA üyelerini hedef almak için hazırlanmış davet mektubu

Sahte Java Minecraft İndirme C2

http://java-for-minecraft.com/
-- "Minecraft için Java indir" kisvesiyle sahte site
-- Minecraft popülerliği → kurban kolay Java kurulumunu kabul eder
-- Java JRE gereksinimi kılığında CrimsonRAT kurulumu

APT36 / Transparent Tribe Hakkında

Transparent Tribe (APT36, ProjectM, MYTHIC LEOPARD), Pakistan istihbaratıyla ilişkili tehdit aktörüdür. Hindistan askeri, hükümet ve diplomatik kurumlarını hedefler. CrimsonRAT, Crimson Platform (.NET/Delphi). Sahte Keş Faturası, NATO konferans belgeleri, ICWA davet mektupları lure olarak kullanılır.

IOC

SHA2568690354fb8a8e6404784128b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2java-for-minecraft.com
LureICWA Mumbai House diplomatik davet mektubu

CrimsonRAT — Malware Profile

CrimsonRAT APT36 Transparent Tribe Pakistan 2017. ICWA Mumbai Hindistan diplomatik lure. java-for-minecraft.com. .NET+Delphi.

Malware Type
RAT
Programming Language
.NET
C2 Protocol
TCP
Target Systems
Hindistan, Pakistan — hukumet, savunma, think-tank

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — CrimsonRAT
# DOMAIN java-for-minecraft.com
TypeValueNote
domain java-for-minecraft.com

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
java-for-minecraft.com domain 80 HTTP active —
java-for-minecraft.com domain 80 HTTP active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
crimsonratapt36transparent-tribeicwa-luremumbai-houseindia-diplomatjava-for-minecraftpakistan-apt