Dosya Bilgileri
| Özellik | Değer |
|---|---|
| SHA256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 |
| MD5 | c932d4c3f54e3902d57abff3c58e09b6 |
| SHA1 | |
| Dosya Adı | file (Go binary, NjRAT etiketli) |
| Boyut | 1,791,384 bytes |
| Mimari | x64 (amd64) |
| Derleme Tarihi | Bilinmiyor |
| Packer | Tespit edilmedi |
| MB İlk Görülme | 2026-06-29 |
| MB Etiketleri | exe, njrat, d52f85, dropped-by-amadey |
Tehdit Profili
Aile: NjRAT Sınıflandırma: YÜKSEK Güven: LOW
⚠️ ÖNEMLİ NOT: Bu örnek MalwareBazaar tarafından "njrat" olarak etiketlenmişse de statik analiz Golang ile yazılmış bir binary olduğunu ortaya koymaktadır. Strings analizinde "Go build ID: YD5mHnHgmfz77..." tespit edilmiş, klasik VB.NET/VB6 NjRAT imzaları bulunamamıştır. "dropped-by-amadey" ve "d52f85" etiketleri, bu örneğin Amadey Loader kampanyasının parçası olarak dağıtıldığını göstermektedir. Binwalk analizi mcrypt Blowfish-448 şifrelenmiş veri bölümü tespit etmiştir — C2 konfigürasyonu büyük ihtimalle burada saklanmaktadır. Etiket yanıltıcı olabilir; dinamik analiz önerilir.
Tespit Edilen Yetenekler
- Remote Access (Amadey loader zincirinden)
- Ağ iletişimi (Go net paketi)
- Sistem bilgisi toplama
- C2 iletişimi (şifreli, tespit edilemedi)
Anti-Analiz Teknikleri
- Go binary obfuscation (rodata şifreli)
- MCrypt Blowfish-448 şifrelenmiş veri bölümü (binwalk tespiti)
Kalıcılık Mekanizmaları
Bilinmiyor (statik analizde tespit edilemedi)
Enjeksiyon Teknikleri
- Bilinmiyor
C2 Sunucuları
IOC Listesi
| Tip | Değer |
|---|---|
| sha256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 |
| md5 | c932d4c3f54e3902d57abff3c58e09b6 |
| domain | activeSweepmheap.fr |
| domain | atomic.Com |
| domain | bisect.de |
| domain | bits.Tr |
| domain | bytealg.Com |
| domain | cmp.Com |
| domain | destroy.fr |
| domain | dict.br |
| domain | dict.Com |
| domain | dict.me |
| domain | doSlow.de |
| domain | eq.io |
| domain | eq.reflect.me |
| domain | eq.reflect.Me |
| domain | eq.ru |
| domain | eq.runtime.Fr |
| domain | eq.runtime.tr |
| domain | eq.syscall.WS |
| domain | exithook.ru |
| domain | exithook.Ru |
| domain | exithook.Run.de |
| domain | Find.de |
| domain | flush.de |
| domain | fmtsort.com |
| domain | freemheap.fr |
| domain | godebug.ru |
| domain | godebugs.Info |
| domain | godebug.update.de |
| domain | handleMethods.de |
| domain | hash.ru |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
NjRAT — Malware Profile
njRAT Bladabindi. Spanish cotizacion lure. get_Panel1 C2 panel. MENA + Latin America targeting.
Technical Details
TCP port 1177 (varsayilan), XOR tabanlı iletisim sifreleme, .NET Framework 2.0+, Mutex: {GUID}, Registry Run key persistence, Keylogger (GetAsyncKeyState), clipboard monitor, screenshot, remote shell, remote camera
Attribution / Threat Actor
Arap dilli siber suc topluluklari, en cok MENA (Orta Dogu ve Kuzey Afrika) bolgesindeki gruplar. Yasama savasi donemi Suriyeli gruplar tarafindan da kullanilmistir.
Capabilities & Behavior
IOC List (5 indicators)
# SHA256
a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677
# MD5
c932d4c3f54e3902d57abff3c58e09b6
# DOMAIN
eq.runtime.Fr
# DOMAIN
eq.runtime.tr
# DOMAIN
handleMethods.de
| Type | Value | Note |
|---|---|---|
| sha256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 | |
| md5 | c932d4c3f54e3902d57abff3c58e09b6 | |
| domain | eq.runtime.Fr | |
| domain | eq.runtime.tr | |
| domain | handleMethods.de |
C2 Servers (8 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| system.io | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
| system.io | domain | — | TCP | active | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.