Manuel Statik Analiz — EvilNum (TA4563) | Tehdit: YUKSEK

Dosya Kimliği

SHA25674329f3585df9b4ac4a0bc4476369dc08975201d7fc326b3c5a4f7d0e2b6c9f1
Boyut1.585.220 byte (1.51MB)
String Sayisi5.454

shellrundll.tlb: COM Type Library — DLL Hijacking

COM KÖTÜYE KULLANIM: Type Library aracılığıyla DLL hijacking!
C:\Users\Administrator\Desktop\vaeeva\shellrundll.tlb
-- "shellrundll" = Shell Run DLL (kabuk DLL çalıştırma)
-- ".tlb" = Type Library (COM bileşen tanım dosyası)
-- COM Type Library: meşru Windows COM kayıt mekanizması
-- EvilNum: .tlb dosyasını kötü amaçlı DLL için COM kaydı olarak kullanır
-- Kabuk DLL: explorer.exe veya başka süreçlere inject için
-- "shellrundll.tlb" = doğrudan niyeti açıklayan isim (developer dikkat!)

vaeeva: Geliştirici Proje Klasörü PDB Yolu

C:\Users\Administrator\Desktop\vaeeva\shellrundll.tlb
-- "vaeeva" = proje klasörü adı (kod adı?)
  - Ukrayna dili: "vaeeva" olası geçici proje kodu
  - TA4563: Orta Doğu finans sektörünü hedefleyen APT
-- "Administrator\Desktop" = geliştirici admin hesabı kullandı
-- Desktop'ta proje: güvenlik bilinci eksikliği
-- EvilNum / TA4563: fintech ve kripto sektörü hedefli

IOC

SHA25674329f3585df9b4ac4a0bc4476369dc08975201d7fc326b3c5a4f7d0e2b6c9f1
PDBC:\Users\Administrator\Desktop\vaeeva\shellrundll.tlb

EvilNum — Malware Profile

EvilNum TA4563 APT. shellrundll.tlb COM type library DLL hijacking. vaeeva developer project PDB. Fintech/crypto targeting.

Malware Type
Backdoor
Programming Language
C/C++
C2 Protocol
HTTP
Target Systems
Avrupa/Fintech

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — EvilNum
# SHA256 74329f3585df9b4ac4a0bc4476369dc08975201d7fc326b3c5a4f7d0e2b6c9f1
TypeValueNote
sha256 74329f3585df9b4ac4a0bc4476369dc08975201d7fc326b3c5a4f7d0e2b6c9f1
Tags
evilnumta4563shellrundll-tlb-com-type-libraryvaeeva-developer-pdbdll-hijack-type-libraryadministrator-desktop-pdbgethostbyname-network