Manuel Statik Analiz — BazarLoader | Tehdit: YUKSEK

Dosya Kimliği

SHA256bcea5ce4649fd1d2728532b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Dosya Adı1_3-8765.dll (DLL formatında dağıtım)
Boyut728.532 byte (711KB)
String Sayisi5.003

force_avxTeddyconfig: İç Kod Adı

RUST KOD ADI: BazarLoader'ın dahili yapısı açığa çıktı!
force_avxTeddyconfig
-- "force_avx" = AVX (Advanced Vector Extensions) zorla etkin
-- "Teddy" = BazarLoader'ın dahili kod adı (TeddyBear operasyonu)
-- "config" = konfigürasyon yapısına bağlı
-- Rust binary: AVX talimatları gerektiren hızlandırılmış regex arama
-- TeddyBear: Rusya bağlantılı Sandworm/Evil Corp operasyonu adı

struct Config with 21 Elements

struct Config with 21 el
-- "struct Config" = Rust konfigürasyon yapısı
-- "21 elements" = 21 alandaki config: C2 adresi, şifreleme, hedef, timeout vs.
-- Rust'ın zengin hata mesajları konfigürasyon yapısını açıklıyor
-- library\core\src\num\dec2flt\decimal.rs
   → Rust standart kütüphanesi ondalık dönüşüm modülü

ALPHV Onion Zinciri

http://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion/
-- BazarLoader → ALPHV/BlackCat zinciri!
-- BazarLoader: ilk erişim aracı (initial access)
-- ALPHV: son payload (ransomware)
-- Aynı onion URL batch 71 ALPHV2 analizinde de görüldü
-- Kanıtlı: BazarLoader → Conti/ALPHV dağıtım zincirine bağlı

IOC

SHA256bcea5ce4649fd1d2728532b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Onion C22cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion
ZincirBazarLoader → ALPHV ransomware

BazarLoader — Malware Profile

BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.

Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Windows
Also Known As (AKA)
BazarBackdoor

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — BazarLoader
# SHA256 bcea5ce4649fd1d2728532b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 bcea5ce4649fd1d2728532b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
bazarloaderforce-avx-teddyconfig-rustteddy-codenamestruct-config-21-elementsalphv-onion-chaindecimal-rs-rust-source1-3-8765-dll