Manuel Statik Analiz (LLM Okumali) — OrcusRAT HTA Dropper | Tehdit: YUKSEK

Dosya Kimligi

SHA256b4580444411800ce5ab3d5b9b48cad4c42ced75e793e8caf24d3e69fc8af93e0
FormatHTA (HTML Application)
Boyut869 byte — minimal dropper

Discord CDN Payload (MP3 Kamuflaji)

OrcusRAT, ikinci asama payload'ini Discord CDN'de MP3 uzantisiyle gizliyor. Guvenlik sistemlerinin cok medya dosyalarini taramama ozelliginden faydalaniyor.
Payload URL:
https://cdn.discordapp.com/attachments/1217028370865455188/1222062384437526538/Fdliipctaw.mp3

Kanal ID:  1217028370865455188
Mesaj ID:  1222062384437526538
Dosya Adi: Fdliipctaw.mp3  (obfuske edilmis, gercekte PE/EXE)

HTA Dropper Teknigi

  • HTA dosyasi, WebClient ile Discord CDN'den sahte MP3 indirir
  • requestedExecutionLevel level="asInvoker" — yukseltilmis yetki talep etmez, UAC tetiklenmez
  • Indirilen dosya (.mp3 uzantili PE) gercekte OrcusRAT executable'idir

OrcusRAT Hakkinda

OrcusRAT, Orcus Software'in C# ile gelistirdigi ve 2016-2019 yillari arasinda Underground forum'larda satildigi bir RAT ailesidir. Plugin tabanli mimarisi, kripto miner, DDoS ve uzaktan kamera gibi modulleri destekler. HTA + Discord CDN kombinasyonu, modern OrcusRAT dagitiminda yaygin hale gelmistir.

IOC

SHA256b4580444411800ce5ab3d5b9b48cad4c42ced75e793e8caf24d3e69fc8af93e0
Payload URLhttps://cdn.discordapp.com/attachments/.../Fdliipctaw.mp3
TeknikDiscord CDN dead-drop + MP3 uzantı kamuflaজি

OrcusRAT — Malware Profile

OrcusRAT. EC2NPoint@CryptoPP elliptic curve C2 encryption. Crypto++ library. task.dll DLL hijacking.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP + Discord CDN
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — OrcusRAT
# SHA256 b4580444411800ce5ab3d5b9b48cad4c42ced75e793e8caf24d3e69fc8af93e0
TypeValueNote
sha256 b4580444411800ce5ab3d5b9b48cad4c42ced75e793e8caf24d3e69fc8af93e0
Tags
orcusrathtadiscord-cdnmp3-kamuflewebclientdropper