Manuel Statik Analiz — Phobos Ransomware | Tehdit: YUKSEK

Arquivo Kimliği

SHA2564ff314143f6fea3573728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Nome do arquivoLisectAVT_2403002C_164.exe
Tamanho73.728 byte (73KB — ultra kompakt ransomware!)
String Sayisi434

LisectAVT Kampanya Adlandırması

Tekrarlayan Kampanya Deseni: LisectAVT aynı zamanladırma planını birden fazla ailede kullanıyor!
LisectAVT_2403002C_164.exe
-- LisectAVT = kampanya ID/araç adı (tüm batçlarda tekrar ediyor)
-- 2403002C = 2024-03 + 002C (hex sıra: 0x002C = 44)
-- _164 = hedef numarası 164! Bu 164. kurban!
-- Aynı kampanya Pikabot (batch 43), XtremeRAT (batch 45)'te görüldü
-- Farklı aileler aynı kampanya altyapısı → çok aileli saldırı grubu

Ultra Kompakt Ransomware

73KB = ransomware için olağanüstü küçük boyut!
-- Phobos'un minimal kod tabanı → hız ve düşük AV profili
-- CreateMutexW / OpenMutexW: çift mutex mutex yönetimi
-- Yalnızca 434 string: maximum obfuskasyon

IOC

SHA2564ff314143f6fea3573728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
KampanyaLisectAVT_2403002C (hedef #164)

PhobosRansom — Perfil do malware

Phobos 2019 Dharma fork. LisectAVT_2403002C_164 164. kurban kodu. 73KB ultra kucuk. CreateMutexW cift mutex.

Tipo de malware
Ransomware
Linguagem de programação
C
Protocolo C2
SMTP/HTTPS
Sistemas-alvo
KOBi/Kurumsal

Capacidades e comportamento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Lista IOC (1 indicadores)

IOC — PhobosRansom
# SHA256 4ff314143f6fea3573728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TipoValorNota
sha256 4ff314143f6fea3573728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 len=63
Tags
phobos-ransomwarelisectavt-2403002c-164164th-targetultra-compact-73kbcampaign-target-numberinglisectavt-campaign