Manuel Statik Analiz — ModiLoader | Tehdit: ORTA

Dosya Kimliği

SHA256cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2
Dosya AdıTFG0890000001.exe (Lojistik Sevkiyat Kodu!)
Boyut1.662.445 byte (1.59MB)
String Sayisi26.962

TFG0890000001.exe: Lojistik Sevkiyat Kodu Lürü

TFG0890000001.exe
-- "TFG" = lojistik şirketi kodu veya fatura prefix
-- "0890000001" = 10 haneli seri numara (önde sıfırlar)
-- Format: [3 harf][10 rakam].exe = kurumsal belge formatı
-- Teslimat lürü: "sevkiyat belgesi", "nakliye irsaliyesi"
  - Lojistik sektörü çalışanları → TFG numaralı belgeler bekliyor
  - E-posta ekinde .exe → "belgeyi açmak için..." tuzağı

Microsoft.TeamFoundation.WorkItemTracking: Azure DevOps SDK Gömülü

OLAĞANDIŞI C2 KANAL: Azure DevOps work item'ları C2 iletişimi için kullanılıyor olabilir!
Microsoft.TeamFoundation.WorkItemTracking.Client
Microsoft.TeamFoundation.WorkItemTracking.Common
Microsoft.TeamFoundation.WorkItemTracking.Common.DataStore
Microsoft.TeamFoundation.WorkItemTracking.Common.Provision
WorkItemStore
WorkItemType
WorkItemTypeCollection
WorkItemLinkType
get_WorkItemTypes
LoadFieldIdsByWorkItemType
-- Team Foundation Server = Microsoft'un ALM/DevOps platformu
-- "WorkItemTracking" = proje yönetimi iş öğesi takip modülü
-- ModiLoader bu kütüphaneyi neden gömüyor?
  - Meşru trafik kanalı: Azure DevOps → şirket firewall'larından geçer!
  - C2 mekanizması: Azure DevOps work item'ları → komutlar oluşturuluyor
  - Kurban → Azure DevOps API → saldırgan controlled project
  - Bu teknik: BazarLoader'ın Google Docs kullanmasına benzer!
  - "WorkItemStore.Query()" = C2'den komut çekme olabilir

MySql.Data.MySqlClient: MySQL .NET Konnektörü

MySql.Data
MySqlConnection
MySql.Data.MySqlClient
-- MySQL .NET Connector gömülü!
-- Olası kullanım:
  1. Yerel veri kalıcılığı: çalınan kimlik bilgileri yerel DB'ye kaydediliyor
  2. Uzak MySQL C2: saldırganın MySQL sunucusuna doğrudan bağlanıyor
  3. Hedef ağda MySQL sunucu saldırısı
-- Azure DevOps + MySQL kombinasyonu → çift C2 kanalı:
  - Azure DevOps: komut alımı (meşru görünümlü)
  - MySQL: veri gönderimi (hızlı, şifreli değil ama direkt)

IOC

SHA256cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2
Dosya AdıTFG0890000001.exe

ModiLoader — Malware Profile

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

Malware Type
Loader
Programming Language
Delphi
C2 Protocol
HTTP
Target Systems
Windows

Technical Details

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — ModiLoader
# SHA256 cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
TypeValueNote
sha256 cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
Tags
modiloadermodi-loadertfg0890000001-exe-logistics-shipping-code-luremicrosoft-teamfoundation-workitemtracking-azure-devops-sdk-embeddedmysql-data-mysqlclient-mysql-connectionazure-devops-work-item-c2-channelmysql-net-connector-embedded