Manuel Statik Analiz — Turla APT (FSB / Rusya) | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 1.985.024 byte |
| String Sayisi | 691 — son derece şifreli! |
DGA Kelime Zinciri
Nawuya.De -- .de Almanya TLD (zararsız görünüm) -- Turla'nın tipik DGA yaklaşımı: kelime tabanlı domain -- Config string: "Nawuya.De tikajucucehok kaxoz puladaz sunimo yifavend Wuroroxer janimawo duxavicihive" -- Kelime zinciri = DGA "seed" materyali -- Kurgusal Slavca/Latin kökenli kelimeler
Turla APT Hakkında
Turla (Snake, Uroburos, Venomous Bear), Rusya FSB'nin 8. Merkezi'ne atfedilen APT grubudur. 1996'dan beri aktif — dünyanın en eski siber istihbarat operasyonlarından biri. Snake rootkit, Kazuar backdoor, ComRAT ve HyperStack araçlarını kullanır. Uydu internet üzerinden C2 iletişimi gibi benzersiz teknikler uygulamıştır.
IOC
| SHA256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | Nawuya.De (DGA kelime tabanlı) |
Turla — Malware Profile
Turla APT Snake FSB 1996+. Nawuya.De DGA kelime. Snake/Kazuar/ComRAT. Uydu C2. Dubes 2025 indirme.
Malware Type
Backdoor
Programming Language
C++
C2 Protocol
DNS/HTTPS/Satellite
Target Systems
Küresel Hükümet/Askeri
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — Turla
# SHA256
c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# DOMAIN
nawuya.de
| Type | Value | Note |
|---|---|---|
| sha256 | c1f278f88275e07c1985024b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |
| domain | nawuya.de |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| nawuya.de | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.