Manuel Statik Analiz — NetSupportRAT | Tehdit: ORTA

Dosya Kimliği

SHA256dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Dosya AdıRate_RATE_AGR_Jun29.exe (tarih damgalı anlaşma!)
Boyut201.728 byte (197KB)
String Sayisi735

Rate_RATE_AGR_Jun29: Tarih Damgalı Oran Anlaşması Lürü

Rate_RATE_AGR_Jun29.exe
-- "Rate" + "RATE" = oran (hem büyük hem küçük harf — hız hazırlanmış)
-- "AGR" = Agreement (anlaşma kısaltması)
-- "Jun29" = June 29 kampanya tarihi
-- Hedef: finans, bankacılık, sigorta sektörü ("rate agreement")
-- NetSupportRAT: meşru NetSupport Manager uzak yönetim aracı kötüye kullanımı
-- Saldırı: kurumsal IT uzak destek aracı sanılarak onaylı yükleniyor

CurrentVersion\Run + NetSupport Hata Stringleri

Software\Microsoft\Windows\CurrentVersion\Run
Unable to read configuration from registry
Connection timeout after %d ms, retrying
-- "CurrentVersion\Run" = Windows autorun kalıcılık anahtarı
-- "Unable to read configuration from registry" = NetSupport Manager meşru hatası
-- "Connection timeout" = meşru C2 retry loop
-- NetSupportRAT: orijinal NetSupport Manager binary kullanıyor → AV bypass

IOC

SHA256dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
LureRate_RATE_AGR_Jun29.exe

NetSupportRAT — Malware Profile

NetSupportRAT NetSupport Manager abuse. Legitimate remote management tool used maliciously. CurrentVersion\Run persistence.

Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/HTTP
Target Systems
Kurumsal

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — NetSupportRAT
# SHA256 dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
netsupportratnetsupport-managerrate-agr-jun29-date-stamped-lurecurrentversion-run-autorunconnection-timeout-retry-netsupportremote-management-abuse