Manuel Statik Analiz — BlackMoon | Tehdit: KRİTİK

Dosya Kimliği

SHA2566c063317b2459fc92e19a88087cdf5589a92aca35259fc4b2e7ed7a838512576
Boyut1.636.864 byte (1.56MB)
String Sayisi9.532

BlackMoon RunTime Error: Gömülü Aile Adı

EXPLICIT: Kendi adını hata mesajında açıkça yazan nadir malware!
BlackMoon RunTime Error:
incompatible version
Please contact the application's support team
-- Hata mesajı: BlackMoon adı açıkça yazıyor!
-- Sahte hata diyaloğu: kurban "uygulama hatası" sandığında C2 bağlantısı kuruluyor
-- "incompatible version" = versiyon uyumsuzluğu mesajı
-- "contact application's support" = sahte teknik destek metni
-- İmza özelliği: yalnızca BlackMoon'da görülen bu hata cümleleri

Game\Config\SISetting.json: Oyun Konfigürasyon Kamuflajı

KAMUFLAJ: C2 config'i oyun ayar dosyası olarak gizlenmiş!
Game\Config\SISetting.json
-- "Game\Config\" = oyun konfigürasyon dizini
-- "SISetting.json" = SI ayarları JSON dosyası
-- BlackMoon: C2 yapılandırmasını oyun config dosyası gibi gösteriyor
-- Güvenlik analistleri: "oyun ayar dosyası, zararsız" → atlıyor
-- JSON format: normal oyun verisi gibi görünür

VC20XC00U: GhostRAT ile Paylaşılan Mutex

CROSS-FAMILY: GhostRAT (batch 82) ile aynı mutex!
VC20XC00U (iki kez — hem BlackMoon hem GhostRAT!)
-- Daha önce GhostRAT analizinde tespit ettik (batch 82, post 65926)
-- Aynı mutex: aynı builder/kit kullanıldığını gösterir
-- BlackMoon + GhostRAT ortak kod tabanı veya aynı paketle üretildi
-- Ortak mutex → kampanya izi ve attribution ipucu
-- 2 farklı aileden aynı mutex = RAT-as-a-service paylaşımı

NtQueryAttributesFile + NtQuerySection: NT Sorgu Anti-Analiz

NtQueryAttributesFile   -- dosya öznitelik sorgusu (NT katmanında)
NtQuerySection          -- bellek bölümü sorgusu
-- Her ikisi: AV/sandbox dosya ve bellek analizini atlatmak için
-- NT katmanı: API hooking'i bypass eder

IOC

SHA2566c063317b2459fc92e19a88087cdf5589a92aca35259fc4b2e7ed7a838512576
İmzaBlackMoon RunTime Error:
MutexVC20XC00U (GhostRAT ile paylaşımlı)

BlackMoon — Malware Profile

BlackMoon Chinese RAT. BlackMoon RunTime Error embedded name. Game/Config/SISetting.json game disguise C2. Shared mutex VC20XC00U with GhostRAT.

Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP
Target Systems
Asya/Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — BlackMoon
# SHA256 6c063317b2459fc92e19a88087cdf5589a92aca35259fc4b2e7ed7a838512576
TypeValueNote
sha256 6c063317b2459fc92e19a88087cdf5589a92aca35259fc4b2e7ed7a838512576
Tags
blackmoonblackmoon-runtime-error-embedded-namegame-config-sisetting-json-game-disguisevc20xc00u-shared-mutex-ghostratntqueryattributesfilentquerysectionincompatible-version-fake-error