Manuel Statik Analiz — BlackMoon | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 6c063317b2459fc92e19a88087cdf5589a92aca35259fc4b2e7ed7a838512576 |
|---|---|
| Boyut | 1.636.864 byte (1.56MB) |
| String Sayisi | 9.532 |
BlackMoon RunTime Error: Gömülü Aile Adı
EXPLICIT: Kendi adını hata mesajında açıkça yazan nadir malware!
BlackMoon RunTime Error: incompatible version Please contact the application's support team -- Hata mesajı: BlackMoon adı açıkça yazıyor! -- Sahte hata diyaloğu: kurban "uygulama hatası" sandığında C2 bağlantısı kuruluyor -- "incompatible version" = versiyon uyumsuzluğu mesajı -- "contact application's support" = sahte teknik destek metni -- İmza özelliği: yalnızca BlackMoon'da görülen bu hata cümleleri
Game\Config\SISetting.json: Oyun Konfigürasyon Kamuflajı
KAMUFLAJ: C2 config'i oyun ayar dosyası olarak gizlenmiş!
Game\Config\SISetting.json -- "Game\Config\" = oyun konfigürasyon dizini -- "SISetting.json" = SI ayarları JSON dosyası -- BlackMoon: C2 yapılandırmasını oyun config dosyası gibi gösteriyor -- Güvenlik analistleri: "oyun ayar dosyası, zararsız" → atlıyor -- JSON format: normal oyun verisi gibi görünür
VC20XC00U: GhostRAT ile Paylaşılan Mutex
CROSS-FAMILY: GhostRAT (batch 82) ile aynı mutex!
VC20XC00U (iki kez — hem BlackMoon hem GhostRAT!) -- Daha önce GhostRAT analizinde tespit ettik (batch 82, post 65926) -- Aynı mutex: aynı builder/kit kullanıldığını gösterir -- BlackMoon + GhostRAT ortak kod tabanı veya aynı paketle üretildi -- Ortak mutex → kampanya izi ve attribution ipucu -- 2 farklı aileden aynı mutex = RAT-as-a-service paylaşımı
NtQueryAttributesFile + NtQuerySection: NT Sorgu Anti-Analiz
NtQueryAttributesFile -- dosya öznitelik sorgusu (NT katmanında) NtQuerySection -- bellek bölümü sorgusu -- Her ikisi: AV/sandbox dosya ve bellek analizini atlatmak için -- NT katmanı: API hooking'i bypass eder
IOC
| SHA256 | 6c063317b2459fc92e19a88087cdf5589a92aca35259fc4b2e7ed7a838512576 |
|---|---|
| İmza | BlackMoon RunTime Error: |
| Mutex | VC20XC00U (GhostRAT ile paylaşımlı) |
BlackMoon — Malware Profile
BlackMoon Chinese RAT. BlackMoon RunTime Error embedded name. Game/Config/SISetting.json game disguise C2. Shared mutex VC20XC00U with GhostRAT.
Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP
Target Systems
Asya/Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — BlackMoon
# SHA256
6c063317b2459fc92e19a88087cdf5589a92aca35259fc4b2e7ed7a838512576
| Type | Value | Note |
|---|---|---|
| sha256 | 6c063317b2459fc92e19a88087cdf5589a92aca35259fc4b2e7ed7a838512576 |