Manuel Statik Analiz — Turla APT (FSB / Rusya) | Tehdit: KRITIK
Arquivo Kimliği
| SHA256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Tamanho | 1.985.024 byte |
| String Sayisi | 691 — son derece şifreli! |
DGA Kelime Zinciri
Nawuya.De -- .de Almanya TLD (zararsız görünüm) -- Turla'nın tipik DGA yaklaşımı: kelime tabanlı domain -- Config string: "Nawuya.De tikajucucehok kaxoz puladaz sunimo yifavend Wuroroxer janimawo duxavicihive" -- Kelime zinciri = DGA "seed" materyali -- Kurgusal Slavca/Latin kökenli kelimeler
Turla APT Hakkında
Turla (Snake, Uroburos, Venomous Bear), Rusya FSB'nin 8. Merkezi'ne atfedilen APT grubudur. 1996'dan beri aktif — dünyanın en eski siber istihbarat operasyonlarından biri. Snake rootkit, Kazuar backdoor, ComRAT ve HyperStack araçlarını kullanır. Uydu internet üzerinden C2 iletişimi gibi benzersiz teknikler uygulamıştır.
IOC
| SHA256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | Nawuya.De (DGA kelime tabanlı) |
Turla — Perfil do malware
Turla APT Snake FSB 1996+. Nawuya.De DGA kelime. Snake/Kazuar/ComRAT. Uydu C2. Dubes 2025 indirme.
Tipo de malware
Backdoor
Linguagem de programação
C++
Protocolo C2
DNS/HTTPS/Satellite
Sistemas-alvo
Küresel Hükümet/Askeri
Capacidades e comportamento
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Lista IOC (2 indicadores)
IOC — Turla
# SHA256
c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# DOMAIN
nawuya.de
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |
| domain | nawuya.de |
Servidores C2 (1 servidores registrados para esta família)
| Endereço | Tipo | Porta | Protocolo | Status | País |
|---|---|---|---|---|---|
| nawuya.de | domain | 443 | HTTPS | inactive | — |
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.