Manuel Statik Analiz — BazarLoader | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | bcea5ce4649fd1d25cd58af149bc24c5c94f005879b3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Dosya Adı | 1_3-8765.dll (versiyon 1.3, build 8765) |
| Boyut | 728.532 byte (711KB) |
| String Sayisi | 7.849 |
xigcgabbzkswmicmkatl: Trigona Ransomware ile Ortak Mutex!
CROSS-FAMILY İSTİHBARAT: BazarLoader → Trigona delivery zinciri kanıtı!
xigcgabbzkswmicmkatl -- Bu mutex Trigona Ransomware'de de görüldü (kSentinel post #65901)! -- BazarLoader + Trigona: aynı mutex = bağlantılı operasyon -- BazarLoader: Conti/TrickBot grubunun yükleyicisi -- Trigona: aynı grubun fidye yazılımı -- DELIVERY CHAIN: BazarLoader (ilk erişim) → Trigona (fidye yazılımı) -- Tek binary'de ikisinin de imzası → aynı kampanya dosyası!
cskkpxjgkbiprbotvnwc + gmnhqvmxbotuojlbaycq + rmbobothaqgnpptdehns + fbotuwzbfubtylcpczyr: Dört 20-Karakter DGA String
DGA İMZALARI: Dört adet tam 20-karakterli DGA botnet ID!
cskkpxjgkbiprbotvnwc (20 karakter) gmnhqvmxbotuojlbaycq (20 karakter) rmbobothaqgnpptdehns (20 karakter) fbotuwzbfubtylcpczyr (20 karakter) -- Hepsi tam 20 karakter, küçük harf alfanumerik -- DGA (Domain Generation Algorithm) kampanya kimlikleri -- Botnet kayıt/tanımlama kimlikleri olabilir -- BazarLoader: farklı botnet gruplarını farklı ID'lerle izler -- 4 farklı kampanya ID'si → 4 farklı victim grubu hedefleniyor -- Her ID: farklı bir C2 sunucu segmentine yönlendirilebilir
IOC
| SHA256 | bcea5ce4649fd1d25cd58af149bc24c5c94f005879b3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Cross-Mutex | xigcgabbzkswmicmkatl (Trigona + BazarLoader) |
| DGA IDs | cskkpxjgkbiprbotvnwc, gmnhqvmxbotuojlbaycq, rmbobothaqgnpptdehns, fbotuwzbfubtylcpczyr |
BazarLoader — Malware Profile
BazarLoader BazaLoader TrickBot group loader. xigcgabbzkswmicmkatl shared Trigona mutex. DGA 20-char campaign IDs.
Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Windows
Also Known As (AKA)
BazarBackdoor
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — BazarLoader
# SHA256
bcea5ce4649fd1d25cd58af149bc24c5c94f005879b3c5a4f7d0e2b6c9f1a3d6
| Type | Value | Note |
|---|---|---|
| sha256 | bcea5ce4649fd1d25cd58af149bc24c5c94f005879b3c5a4f7d0e2b6c9f1a3d6 |