Manuel Statik Analiz — GootKit / GootLoader | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c4 |
|---|---|
| Dosya Adı | Riba_domestic_building_contract_free[...].js (RIBA İnşaat Sözleşmesi!) |
| Format | JavaScript (.js) — 143.744 byte |
| String Sayisi | 3.166 |
Riba_domestic_building_contract_free: İngiltere İnşaat Sektörü SEO Lürü
SEO ZEHİRLEME: RIBA sözleşme şablonu kılığında!
Riba_domestic_building_contract_free[...].js -- RIBA = Royal Institute of British Architects (Kraliyet Mimar Enstitüsü) -- "domestic_building_contract" = konut inşaat sözleşmesi -- "_free" = ücretsiz şablon (indirme teşviki) -- Hedef: İngiltere mimarlık firmaları, inşaat müteahhitleri, avukatlar -- GootKit SEO zehirleme: Google'da "RIBA sözleşme şablonu" arandığında ilk sıralarda! -- Önceki kampanya: "Legal_Case_Management_Guide" (batch 75) -- Aynı taktik: Hukuk → Şimdi İnşaat sektörüne genişledi
answerw Obfuscated JavaScript Payload
PAYLOAD: Gizlenmiş GootKit JavaScript konfigürasyonu!
answerw='n|vCtlmclfg[+rgDao*(ro)3e|]9zo))+l5]sC2(ie(DtsD(5|[8+aG)cTv)awm;uegSgNgNhk/m[...]' -- "answerw" = obfuscated JavaScript değişkeni -- İçerik: regex-like obfuscation → C2 URL + komut + payload -- "sC2" = payload içinde C2 referansı -- RegExp + eval ile decode edilecek multi-layer obfuscation -- GootKit: 5+ katmanlı JavaScript gizleme kullanır
Stanford + astron-soc.in: Meşru Site Dead Drop
http://hummer.stanford.edu/museinf[...] -- Stanford Üniversitesi URL http://astron-soc.in/bulletin/11June/289392011.pdf -- Hint Astronomi Derneği -- GootKit: C2 komutlarını meşru sitelerde gizler (dead drop) -- Stanford/akademik URL: güvenlik filtreleri engelleme yapmaz -- "289392011" = victim/session ID gibi görünen numara -- Ziyaret edilen meşru siteden payload/komut çekilir → trafik normal görünür
IOC
| SHA256 | f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c4 |
|---|---|
| Lure | RIBA domestic building contract (UK) |
| Dead Drop | hummer.stanford.edu, astron-soc.in |
GootKit — Malware Profile
GootKit GootLoader. RIBA UK construction seo poisoning. JS obfuscation. Stanford dead drop.
Malware Type
Backdoor
Programming Language
C++
C2 Protocol
HTTPS .su
Target Systems
Küresel/UK
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — GootKit
# SHA256
f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c
# DOMAIN
astron-soc.in
| Type | Value | Note |
|---|---|---|
| sha256 | f78bcfb8006be9862eab9ea95796547e26310b3c5a4f7d0e2b6c9f1a3d6e8b1c | |
| domain | astron-soc.in |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| shinezv.su | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.