Manuel Statik Analiz — Squirrelwaffle Loader | Tehdit: YUKSEK

Dosya Kimliği

SHA2560278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f
Dosya Adıtest1.test.dll
Boyut458.218 byte
String Sayisi3.397

Şifreli C2 Config Fragmentleri

2C2n2*383    -- Şifreli C2 config alanı
2$2.282G2Q2c2{2  -- C2 config değeri
~[ZtRC2      -- C2 referansı

Squirrelwaffle Hakkında

Squirrelwaffle, 2021'den beri aktif loader ailesidir. Meşru web sitelerini ele geçirerek (ProxyLogon/ProxyShell) dağıtım için kullanır. XOR ile şifreli C2 yapılandırması ve hardcoded C2 IP listesi içerir. Qakbot ve Cobalt Strike gibi ikinci aşama araçlar yükler. İş konulu sahte yanıt e-postalarıyla (reply-chain hijacking) yayılır.

IOC

SHA2560278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f

Squirrelwaffle — Malware Profile

Squirrelwaffle 2021 email thread hijacking loader. Exchange ProxyLogon/ProxyShell. Qakbot+CS dropper.

Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Kurumsal

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — Squirrelwaffle
# SHA256 0278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f
TypeValueNote
sha256 0278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f len=63
Tags
squirrelwaffleloaderdllencrypted-c2cobalt-strike-dropper