Dosya Kimligi
| SHA256 | 9b160425fb2a2d6cd125509bface7b506430a35efa2dd34ffb2e9b15b3b6a5c7 |
|---|---|
| Orijinal Ad | Shipping Bill2008581 dated01042026.pdf.zip (ZIP icinde .jar) |
| JAR Ad | Shipping Bill2008581 dated01042026.pdf.jar |
| Boyut | 63.596 byte (.jar) |
| Dil | Java — cross-platform RAT |
Teslimat Vektoru — Nakliye Faturasi PDF Kimlik Avı
Dosya, 2008581 numarali nakliye faturasi (01.04.2026 tarihli) olarak sunulmaktadir. Cift uzantili dosya adi (*.pdf.jar) ile kurbanlar bir PDF belgesi actıklarını sanirken aslinda bir Java uygulamasini calistirmaktadirlar. Bu teknik lojistik ve ihracat sektorlerini hedef alan STRRAT kampanyalarinda sikca kullanilmaktadir.
Teknik Analiz — kingDavid JAR Paketi
JAR dosyasi icerisinde kingDavid/ adli bir paket yapisi bulunmaktadir. Bu paket adi gelistirici tarafindan secilmis ve bu ornege ozgü bir IOC'dur. Java class dosyalari caesium_XX.class isimlendirme duzeninde obfuskasyona ugramistir (STRRAT v5 standart obfuskasyon modeli):
kingDavid/9.class/caesium_27.classc kingDavid/3.class/caesium_25.classc kingDavid/10.class/caesium_27.classc kingDavid/41.class/caesium_31.classc
C2 Altyapisi
STRRAT v5 C2 host/port bilgisini sifreli bir String olarak JAR icerisinde saklar. Statik analizde cleartext C2 gorunmemektedir; ancak runtime'da Java SecretKeyFactory veya AES ile cozer. STRRAT'in bilinen C2 portlari: 1033 veya 1234.
Bilinen STRRAT Yetenekleri
- Uzaktan komut yürütme (Java ProcessBuilder)
- Keylogger
- Ransomware modulu (dosya sifrelemesi .crimson uzantisi)
- Kimlik bilgileri calma: tarayici, Outlook, FileZilla
- Ekran goruntüsü
- Cross-platform (Windows, Linux, macOS — Java Runtime ile)
IOC
| SHA256 | 9b160425fb2a2d6cd125509bface7b506430a35efa2dd34ffb2e9b15b3b6a5c7 |
|---|---|
| Dosya | Shipping Bill2008581 dated01042026.pdf.jar |
| JAR Paketi | kingDavid/ |
| C2 | Sifrelenmis (Java runtime, port 1033/1234) |
Nasil Kaldirilir?
- .jar uzantili dosyalar calistirilmasin (cift uzantiya dikkat)
- Java Runtime ortaminda cesitli .class dosyalari aransin
- Kullanilmayan Java kurulumlarinin kaldirilmasi onerilir
STRRAT — Malware Profile
STRRAT Java 2020 MaaS $80/ay. RFQ.js 849KB 41 string max obfuski. .crimson dosya uzantisi taklit. Office dropper.
Capabilities & Behavior
IOC List (1 indicators)
# SHA256
9b160425fb2a2d6cd125509bface7b506430a35efa2dd34ffb2e9b15b3b6a5c7
| Type | Value | Note |
|---|---|---|
| sha256 | 9b160425fb2a2d6cd125509bface7b506430a35efa2dd34ffb2e9b15b3b6a5c7 |