Manuel Statik Analiz — Cl0p Linux ELF | Tehdit: KRITIK
Arquivo Kimliği
| SHA256 | 09d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Nome do arquivo | b6d2eae7413db11b4e6a8256ef.elf (Linux ELF binary!) |
| Tamanho | 1.250.347 byte (1.25MB ELF) |
| String Sayisi | 5.726 |
Tor Onion C2 URL
Gerçek C2 URL Tespit Edildi:
http://6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/93868e7... -- 62 karakter v3 Tor onion adresi -- /remote0/ = birincil komuta kanalı endpoint'i -- /93868e7... = kampanya/kurban kimlik hash'i
C2 Domainleri
inst.cc -- .cc Cocos Adaları TLD, 6 karakter kısa domain rsv-box.com -- "RSV" prefix (rezervasyon?) ile .com support-mult.com -- "çoklu destek" sahte teknik destek
Linux Cl0p Hakkında
Cl0p (TA505), Rusya merkezli ileri düzey tehdit aktörü. Başlangıçta Windows ransomware iken 2023'te Linux ve VMware ESXi versiyonları eklendi. MOVEit Transfer zafiyetini (CVE-2023-34362) büyük çaplı fidye saldırılarında kullandı. Kurumsal Linux sunucularını hedefler. Tor tabanlı müzakere altyapısı.
IOC
| SHA256 | 09d6dab9b70a74f61250347b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Tor C2 | 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion/remote0/ |
| C2 | inst.cc / rsv-box.com / support-mult.com |
Cl0p2 — Perfil do malware
Cl0p TA505 Rusya Linux ELF. inst.cc+rsv-box.com+support-mult.com C2. 62-char Tor onion. MOVEit CVE-2023-34362. VMware ESXi.
Tipo de malware
Ransomware
Linguagem de programação
C
Protocolo C2
HTTPS/Tor
Sistemas-alvo
Küresel Kurumsal
Capacidades e comportamento
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
Lista IOC (4 indicadores)
IOC — Cl0p2
# DOMAIN
6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion
# DOMAIN
inst.cc
# DOMAIN
rsv-box.com
# DOMAIN
support-mult.com
| Tipo | Valor | Nota |
|---|---|---|
| domain | 6v4q5w7di74grj2vtmikzgx2tnq5eagyg2cubpcnqrvvee2ijpmprzqd.onion | |
| domain | inst.cc | |
| domain | rsv-box.com | |
| domain | support-mult.com |
Servidores C2 (3 servidores registrados para esta família)
| Endereço | Tipo | Porta | Protocolo | Status | País |
|---|---|---|---|---|---|
| inst.cc | domain | 443 | HTTPS | active | — |
| rsv-box.com | domain | 443 | HTTPS | inactive | — |
| support-mult.com | domain | 443 | HTTPS | inactive | — |
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.