Manuel Statik Analiz — TrueBot (Silence Group) | Tehdit: YUKSEK

Dosya Kimliği

SHA25605c72e77d14cee079ac94706759dfe77c27fe51731a1ec76a3b5e8f9c2d4a1b3
Boyut413.424 byte
String Sayisi4.155

Domain Controller C2 Konfigürasyonu

DC2_USERS  -- Domain Controller 2 üzerindeki kullanıcı listesi
-- TrueBot, kurumsal ağlardaki AD Domain Controller'ları hedefler
-- Lateral movement + credential harvest için DC tespiti

Anti-Sandbox

NtQuerySystemInformation  -- Kernel-level sandbox tespiti
GetTickCount              -- Timing tabanlı VM/sandbox tespiti

TrueBot Hakkında

TrueBot (Truebot/Grace/Silence.Downloader), Rusya bağlantılı Silence Group (TA505) tarafından geliştirilen botnet ve downloader ailesidir. Özellikle finans kurumlarındaki Active Directory Domain Controller'ları hedefler. Clop ransomware ve FlawedGrace gibi post-exploitation araçları dağıtmak için kullanılır.

IOC

SHA25605c72e77d14cee079ac94706759dfe77c27fe51731a1ec76a3b5e8f9c2d4a1b3
ConfigDC2_USERS (Domain Controller hedefleme)

TrueBot — Malware Profile

TrueBot (Grace) Silence Group/TA505. AD Domain Controller hedefi. Clop+FlawedGrace dropper. Finans kurumu APT.

Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Kuresel Finans/Kurumsal

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — TrueBot
# SHA256 05c72e77d14cee079ac94706759dfe77c27fe51731a1ec76a3b5e8f9c2d4a1b3
TypeValueNote
sha256 05c72e77d14cee079ac94706759dfe77c27fe51731a1ec76a3b5e8f9c2d4a1b3
Tags
truebotsilence-groupntquerydomain-controllerdc2-usersta505botnet