Manuel Statik Analiz — ModiLoader | Tehdit: ORTA
Dosya Kimliği
| SHA256 | cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2 |
|---|---|
| Dosya Adı | TFG0890000001.exe (Lojistik Sevkiyat Kodu!) |
| Boyut | 1.662.445 byte (1.59MB) |
| String Sayisi | 26.962 |
TFG0890000001.exe: Lojistik Sevkiyat Kodu Lürü
TFG0890000001.exe -- "TFG" = lojistik şirketi kodu veya fatura prefix -- "0890000001" = 10 haneli seri numara (önde sıfırlar) -- Format: [3 harf][10 rakam].exe = kurumsal belge formatı -- Teslimat lürü: "sevkiyat belgesi", "nakliye irsaliyesi" - Lojistik sektörü çalışanları → TFG numaralı belgeler bekliyor - E-posta ekinde .exe → "belgeyi açmak için..." tuzağı
Microsoft.TeamFoundation.WorkItemTracking: Azure DevOps SDK Gömülü
OLAĞANDIŞI C2 KANAL: Azure DevOps work item'ları C2 iletişimi için kullanılıyor olabilir!
Microsoft.TeamFoundation.WorkItemTracking.Client Microsoft.TeamFoundation.WorkItemTracking.Common Microsoft.TeamFoundation.WorkItemTracking.Common.DataStore Microsoft.TeamFoundation.WorkItemTracking.Common.Provision WorkItemStore WorkItemType WorkItemTypeCollection WorkItemLinkType get_WorkItemTypes LoadFieldIdsByWorkItemType -- Team Foundation Server = Microsoft'un ALM/DevOps platformu -- "WorkItemTracking" = proje yönetimi iş öğesi takip modülü -- ModiLoader bu kütüphaneyi neden gömüyor? - Meşru trafik kanalı: Azure DevOps → şirket firewall'larından geçer! - C2 mekanizması: Azure DevOps work item'ları → komutlar oluşturuluyor - Kurban → Azure DevOps API → saldırgan controlled project - Bu teknik: BazarLoader'ın Google Docs kullanmasına benzer! - "WorkItemStore.Query()" = C2'den komut çekme olabilir
MySql.Data.MySqlClient: MySQL .NET Konnektörü
MySql.Data MySqlConnection MySql.Data.MySqlClient -- MySQL .NET Connector gömülü! -- Olası kullanım: 1. Yerel veri kalıcılığı: çalınan kimlik bilgileri yerel DB'ye kaydediliyor 2. Uzak MySQL C2: saldırganın MySQL sunucusuna doğrudan bağlanıyor 3. Hedef ağda MySQL sunucu saldırısı -- Azure DevOps + MySQL kombinasyonu → çift C2 kanalı: - Azure DevOps: komut alımı (meşru görünümlü) - MySQL: veri gönderimi (hızlı, şifreli değil ama direkt)
IOC
| SHA256 | cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2 |
|---|---|
| Dosya Adı | TFG0890000001.exe |
ModiLoader — Malware Profile
ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.
Malware Type
Loader
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Windows
Technical Details
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — ModiLoader
# SHA256
cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
| Type | Value | Note |
|---|---|---|
| sha256 | cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b |