Manuel Statik Analiz — BlindEagle (APT-C-36) | Tehdit: KRİTİK

Dosya Kimliği

SHA2565c40b6c237da3b279439b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Dosya Adıkbum1963.duckdns.org remnew.duckdns.org yumagu[...] (C2 domainleri ile!)
Boyut1.877.569 byte (1.79MB)
String Sayisi9.439

kbum1963.duckdns.org + remnew.duckdns.org: DuckDNS Dinamik DNS C2

C2 TESPİT: DuckDNS üzerinden dinamik DNS C2 — dosya adında!
kbum1963.duckdns.org      -- DuckDNS subdomain C2 #1
remnew.duckdns.org        -- DuckDNS subdomain C2 #2
-- DuckDNS: ücretsiz dinamik DNS servisi (duckdns.org)
-- Dinamik DNS: C2'nin IP adresi değişse de domain adı sabit kalır
-- "kbum1963" = muhtemelen operatör takma adı + yıl
-- "remnew" = "remote new" veya rastgele seçilmiş
-- Dosya adı = binary içine gömülü C2 adresler olarak dosya adı kullanılmış!
-- BlindEagle (APT-C-36): Kolombiya, Ekvador, Şili'yi hedefleyen APT

IDS_TITLE1 "Pulse el botón": İspanyolca GUI

HEDEF BÖLGELİ: İspanyolca arayüz = Latin Amerika hedeflemesi!
IDS_TITLE1  "<ul><li>Pulse el bot[on]..."
-- "Pulse el botón" = "Düğmeye basın" (İspanyolca!)
-- HTML embed: `<ul><li>` = liste elemanı (Rich HTML dialog?)
-- İspanyolca UI: Kolombiya, Ekvador, Peru, Şili, Arjantin gibi hedefler
-- BlindEagle = APT-C-36: Güney Amerika odaklı tehdit aktörü
-- İspanyolca metin: kurban dil bariyer olmadan etkileşim giriyor

$GETPASSWORD1: WinRAR SFX Teslimat

$GETPASSWORD1:SIZE
$GETPASSWORD1:CAPTION
$GETPASSWORD1:IDC_PASSWORDENTER
-- LockBit3 ile aynı WinRAR SFX wrapper pattern!
-- Şifreli SFX arşiv: şifre kullanıcıdan isteniyor → sosyal mühendislik

IOC

SHA2565c40b6c237da3b279439b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
C2-1kbum1963.duckdns.org (DuckDNS)
C2-2remnew.duckdns.org (DuckDNS)

BlindEagle — Malware Profile

BlindEagle APT-C-36 South America APT. DuckDNS dynamic DNS C2. Spanish GUI. WinRAR SFX delivery. Targets Colombia, Ecuador, Chile.

Malware Type
RAT
Programming Language
Delphi/AutoIt
C2 Protocol
HTTP
Target Systems
Latin Amerika

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — BlindEagle
# DOMAIN duckdns.org
TypeValueNote
domain duckdns.org

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
kbum1963.duckdns.org domain 443 HTTPS inactive &mdash;
remnew.duckdns.org domain 443 HTTPS inactive &mdash;

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
blindeagleapt-c-36kbum1963-duckdns-org-dynamic-c2remnew-duckdns-org-c2duckdns-dynamic-dnspulse-el-boton-spanish-guiwinrar-sfx-getpassword1-deliverylatin-america-targetingsouth-america-apt