Manuel Statik Analiz — BlindEagle (APT-C-36) | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 5c40b6c237da3b279439b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya Adı | kbum1963.duckdns.org remnew.duckdns.org yumagu[...] (C2 domainleri ile!) |
| Boyut | 1.877.569 byte (1.79MB) |
| String Sayisi | 9.439 |
kbum1963.duckdns.org + remnew.duckdns.org: DuckDNS Dinamik DNS C2
C2 TESPİT: DuckDNS üzerinden dinamik DNS C2 — dosya adında!
kbum1963.duckdns.org -- DuckDNS subdomain C2 #1 remnew.duckdns.org -- DuckDNS subdomain C2 #2 -- DuckDNS: ücretsiz dinamik DNS servisi (duckdns.org) -- Dinamik DNS: C2'nin IP adresi değişse de domain adı sabit kalır -- "kbum1963" = muhtemelen operatör takma adı + yıl -- "remnew" = "remote new" veya rastgele seçilmiş -- Dosya adı = binary içine gömülü C2 adresler olarak dosya adı kullanılmış! -- BlindEagle (APT-C-36): Kolombiya, Ekvador, Şili'yi hedefleyen APT
IDS_TITLE1 "Pulse el botón": İspanyolca GUI
HEDEF BÖLGELİ: İspanyolca arayüz = Latin Amerika hedeflemesi!
IDS_TITLE1 "<ul><li>Pulse el bot[on]..." -- "Pulse el botón" = "Düğmeye basın" (İspanyolca!) -- HTML embed: `<ul><li>` = liste elemanı (Rich HTML dialog?) -- İspanyolca UI: Kolombiya, Ekvador, Peru, Şili, Arjantin gibi hedefler -- BlindEagle = APT-C-36: Güney Amerika odaklı tehdit aktörü -- İspanyolca metin: kurban dil bariyer olmadan etkileşim giriyor
$GETPASSWORD1: WinRAR SFX Teslimat
$GETPASSWORD1:SIZE $GETPASSWORD1:CAPTION $GETPASSWORD1:IDC_PASSWORDENTER -- LockBit3 ile aynı WinRAR SFX wrapper pattern! -- Şifreli SFX arşiv: şifre kullanıcıdan isteniyor → sosyal mühendislik
IOC
| SHA256 | 5c40b6c237da3b279439b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| C2-1 | kbum1963.duckdns.org (DuckDNS) |
| C2-2 | remnew.duckdns.org (DuckDNS) |
BlindEagle — Malware Profile
BlindEagle APT-C-36 South America APT. DuckDNS dynamic DNS C2. Spanish GUI. WinRAR SFX delivery. Targets Colombia, Ecuador, Chile.
Malware Type
RAT
Programming Language
Delphi/AutoIt
C2 Protocol
HTTP
Target Systems
Latin Amerika
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — BlindEagle
# DOMAIN
duckdns.org
| Type | Value | Note |
|---|---|---|
| domain | duckdns.org |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| kbum1963.duckdns.org | domain | 443 | HTTPS | inactive | — |
| remnew.duckdns.org | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.