Manuel Statik Analiz — IcedID | Tehdit: YUKSEK

Dosya Kimliği

SHA25617014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıinfo_IR-99661418.msi
Boyut1.130.496 byte (1.1MB MSI)
String Sayisi5.745

Fatura Kopyası Lure

info_IR-99661418.msi
-- "IR" = Invoice Receipt (fatura makbuzu)
-- #99661418 = sekiz haneli belge seri numarası
-- "info_" prefix = "fatura bilgisi" iddiası
-- MSI = "yazılım kurulum" görünümlü teslimat
-- Finans/muhasebe personeli hedef alınıyor

C2 Domain: NSABX.GG

Aktif C2: NSABX.GG (.gg Guernsey TLD)!
NSABX.GG
-- .GG = Guernsey Crown bağlı bölge TLD'si (İngiltere)
-- 5 karakter rastgele: N-S-A-B-X (anlamsız kombinasyon)
-- .GG TLD ucuz ve kayıt kolay → saldırgan tercih ediyor
-- IcedID C2 kısa domain tercih eder: tespit/kara liste zor

Özel Sıkıştırma: cT_Gzip_Uncompress

cT_Gzip_Uncompress
-- IcedID özel Gzip sıkıştırma çözme rutini
-- "cT_" prefix = özel kütüphane/modül adlandırması
-- Payload/config şifreli + sıkıştırılmış şekilde gömülmüş
-- RtlLookupFunctionEntry: exception handler araştırması (anti-debug)

IcedID Hakkında

IcedID (BokBot) 2017'de banking trojan olarak başladı. TrickBot/Emotet'in yerini aldı. Cobalt Strike, Ryuk ve Conti için başlangıç vektörüdür. 2023'te IcedID Lite varyantı tespit edildi: ransomware dağıtımına odaklanmış daha küçük boyut. BackConnect proxy modülü ile ağ içinde yanal hareket sağlar.

IOC

SHA25617014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2NSABX.GG
Lureinfo_IR-99661418.msi (Invoice Receipt #99661418)

IcedID3 — Malware Profile

IcedID BokBot 2017. info_IR-99661418.msi fatura. NSABX.GG C2. cT_Gzip_Uncompress. CobaltStrike+Ryuk loader.

Malware Type
Loader
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Küresel Finans

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — IcedID3
# DOMAIN nsabx.gg
TypeValueNote
domain nsabx.gg

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
NSABX.GG domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
icedidinfo-ir-99661418-msiinvoice-receipt-lurensabx-gg-c2gg-tld-domaincustom-gziprtllookupfunctionentry