Manuel Statik Analiz — GootKit | Tehdit: YUKSEK

Dosya Kimliği

SHA256f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıRiba_domestic_building_contract_free_download (İngiltere mimarlik sozlesmesi!)
Boyut143.744 byte (143KB)
String Sayisi3.166

İngiltere Hedefleme: RIBA Bina Sözleşmesi

UK Hedefleme: İngiliz mimarlık endüstrisi!
Riba_domestic_building_contract_free_download
-- RIBA = Royal Institute of British Architects (İngiliz Mimarlar Kraliyet Enstitüsü)
-- "domestic building contract" = yerleşim konutu yapı sözleşmesi
-- "free download" = ücretsiz PDF lürü
-- GootKit SEO poisoning: arama motorunda üst sıralarda görünür
-- "RIBA contract PDF indir" arayan İngiliz müteahhit/mimar → GootKit dropper

Altı .SU C2 Domaini

C2 TESPIT: Sovyet Birliği (.SU) TLD domainleri!
hex.su      shinezv.su
hxa.su      str.su
mode.su     value.su
-- .su = Sovyet Birliği TLD (hâlâ aktif, siber suçlar için çok kullanılıyor)
-- GootKit .su C2 altyapısı: 6 farklı domain = failover/yedekli yapı
-- "shinezv.su" = tesadüfi görünen (DGA-benzeri) → birincil C2
-- "hex/str/value" = programlama terimi — geliştirici içten kodlama

IOC

SHA256f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureRIBA UK building contract (SEO poisoning)
C2 Domainlerishinezv.su, hex.su, hxa.su, mode.su, str.su, value.su

GootKit — Malware Profile

GootKit GootLoader. RIBA UK construction seo poisoning. JS obfuscation. Stanford dead drop.

Malware Type
Backdoor
Programming Language
C++
C2 Protocol
HTTPS .su
Target Systems
Küresel/UK

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (6 indicators)

IOC — GootKit
# DOMAIN hex.su # DOMAIN shinezv.su # DOMAIN hxa.su # DOMAIN str.su # DOMAIN mode.su # DOMAIN value.su
TypeValueNote
domain hex.su
domain shinezv.su
domain hxa.su
domain str.su
domain mode.su
domain value.su

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
shinezv.su domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
gootkitriba-building-contract-ukshinezv-su-c2hex-su-domainstr-su-domainmode-su-domainsoviet-union-su-tlduk-construction-targetingweb-inject