Manuel Statik Analiz — Squirrelwaffle Loader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 0278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f |
|---|---|
| Dosya Adı | test1.test.dll |
| Boyut | 458.218 byte |
| String Sayisi | 3.397 |
Şifreli C2 Config Fragmentleri
2C2n2*383 -- Şifreli C2 config alanı
2$2.282G2Q2c2{2 -- C2 config değeri
~[ZtRC2 -- C2 referansı
Squirrelwaffle Hakkında
Squirrelwaffle, 2021'den beri aktif loader ailesidir. Meşru web sitelerini ele geçirerek (ProxyLogon/ProxyShell) dağıtım için kullanır. XOR ile şifreli C2 yapılandırması ve hardcoded C2 IP listesi içerir. Qakbot ve Cobalt Strike gibi ikinci aşama araçlar yükler. İş konulu sahte yanıt e-postalarıyla (reply-chain hijacking) yayılır.
IOC
| SHA256 | 0278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f |
|---|
Squirrelwaffle — Malware Profile
Squirrelwaffle 2021 email thread hijacking loader. Exchange ProxyLogon/ProxyShell. Qakbot+CS dropper.
Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Kurumsal
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — Squirrelwaffle
# SHA256
0278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f
| Type | Value | Note |
|---|---|---|
| sha256 | 0278a0ff3a6fc562e8b1d4a7c3f9e2b5d8a1c4f7e0b3d6a9c2f5e8b1d4a7c0f | len=63 |