Manuel Statik Analiz — LimeRAT | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | kalyanonlinematkaapp.exe |
| Boyut | 399.872 byte (399KB) |
| String Sayisi | 362 (çok az — yoğun obfuskasyon) |
Hindistan Kalyan Matka Kumar Lure
Bölgesel Hedefleme: Hint yasadışı kumar uygulaması kılığı!
kalyanonlinematkaapp.exe -- "Kalyan" = Mumbai'nin Kalyan şehri (Hindistan) -- "Matka" = Hint yasadışı piyango oyunu (çevrimiçi ve fiziksel) -- "OnlineMatka" = yasadışı Matka çevrimiçi versiyonu -- Kumar/piyango kullanıcılarını hedef alan Güney Asya kampanyası -- Benzer hedefleme: LimeRAT'ın Hindistan odaklı kampanyaları
C2: Gambling Sitesi Domaininde Gizli
https://kalyanonlinematkaapp.in.net/tai-app-kubet/ -- .in.net = Hindistan (.in) TLD taklit + .net kombine (meşru değil) -- "tai-app-kubet" = Taylandlı online casino "KUBET" uygulaması -- Hem Hint hem Vietnam/Tayland kumar markaları bir arada! -- Kumar sitesi domain'i C2 adresi olarak kullanılıyor
VM Tespiti
vmware -- VMware sanal makine adı \vboxhook.dll -- VirtualBox hook DLL kontrolü -- İki farklı VM platformu tespit ediliyor
IOC
| SHA256 | 940e18e109ff6af1399872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | kalyanonlinematkaapp.in.net |
| Lure | kalyanonlinematkaapp.exe (Hint Kumar Uygulaması) |
LimeRAT2 — Malware Profile
LimeRAT 2019 .NET. kalyanonlinematkaapp.exe Hint Kalyan Matka kumar kılık. kubet C2. VM detect vmware+vboxhook.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
HTTP
Target Systems
Güney Asya
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — LimeRAT2
# DOMAIN
in.net
| Type | Value | Note |
|---|---|---|
| domain | in.net |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| kalyanonlinematkaapp.in.net | domain | 443 | HTTPS | active | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.