Manuel Statik Analiz — NetSupportRAT | Tehdit: ORTA
Dosya Kimliği
| SHA256 | dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Rate_RATE_AGR_Jun29.exe |
| Boyut | 201.728 byte (201KB) |
| String Sayisi | 735 |
Haziran 29 Tarihli Teklif Anlaşma Lure
Rate_RATE_AGR_Jun29.exe -- "Rate" = oran/teklif (fiyat teklifi) -- "RATE_AGR" = Rate Agreement (oran anlaşması) -- "Jun29" = Haziran 29 (bugün: 2 Temmuz 2026, dün'den sample!) -- Çok güncel tarih: aktif kampanya, dün gönderilmiş! -- Tedarik/finans departmanı hedefleme
Kodlanmış Config String
IMCPBLGFEPGLGDLNPHOIAEPFFIFFLFCBAHIFKKOCDAMGNKAJKCAPCBECHJPFHBDLFEFGNKJODOOKKBFBEKFNH -- 83 karakter büyük harf string -- Muhtemelen: Base26 (A-Z), substitution cipher, veya XOR encoded -- NetSupportRAT config/lisans değeri: C2 adresi ve port kodlanmış -- NetSupport Manager (meşru uzak masaüstü yazılımı) konfigürasyonu
NetSupportRAT Hakkında
NetSupportRAT, meşru NetSupport Manager uzak destek yazılımının (1987) kötü amaçlı kullanımıdır. TA505, FIN7, SocGholish grupları kullanır. Orijinal lisanslı yazılım konfigürasyonu değiştirilerek saldırgan C2'sine bağlanır. Antivirüs imzaları meşru yazılımı genellikle kaçırır. Jun29 tarih kodu güncel operasyonun kanıtı.
IOC
| SHA256 | dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Rate_RATE_AGR_Jun29.exe (Haziran 29 anlaşma) |
| Config | IMCPBLGFEPGLGDLNPHOIAEPFFIFFLFCBAHIFKKOCDAMGNKAJKCAPCBECHJPFHBDLFEFGNKJODOOKKBFBEKFNH |
NetSupportRAT — Malware Profile
NetSupportRAT NetSupport Manager abuse. Legitimate remote management tool used maliciously. CurrentVersion\Run persistence.
Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/HTTP
Target Systems
Kurumsal
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — NetSupportRAT
# SHA256
dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |