Manuel Statik Analiz — WarzoneRAT/AveMaria | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | c052348a58892d3a1054208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | پی او 14052001558.exe (Farsça "Purchase Order"!) |
| Boyut | 1.054.208 byte (1MB) |
| String Sayisi | 26.962 |
Farsça Tuzak: Orta Doğu Hedefleme
KRITIK: Farsça yazılı dosya adı!
پی او 14052001558.exe -- "پی او" = Farsça "PO" = Purchase Order (Satın Alma Emri) -- "14052001558" = belge numarası veya tarih kodu -- Farsça (Iran, Afganistan, Tacikistan dili) -- Orta Doğu kurumsal hedefler: İranlı/Afgan şirketler -- BFIN ve tedarik zinciri BEC saldırısı! -- İran'da İngilizce değil Farsça kullanımı → yerel hedefleme -- config, config1, config2 = gömülü çoklu konfigürasyon
MySqlConnection: C2 Veri Deposu
MySqlConnection -- WarzoneRAT/AveMaria MySQL kullanıyor! -- Kurbanlardan çalınan veri doğrudan MySQL veritabanına yazılır -- C2 panel backend: MySQL -- Credential, keylog, screenshot → MySQL INSERT INTO victims TABLE -- C2'ye erişim için panel: PHP/MySQL web uygulaması
IOC
| SHA256 | c052348a58892d3a1054208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | پی او 14052001558.exe (Farsça Purchase Order) |
| Hedef | Orta Doğu (İran/Afganistan) |
AveMaria2 — Malware Profile
WarzoneRAT AveMaria .NET RAT. Farsi PO lure Orta Dogu hedefleme. MySqlConnection C2 data storage. Credential theft.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/MySQL
Target Systems
Orta Dogu/MENA
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — AveMaria2
# SHA256
c052348a58892d3a1054208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | c052348a58892d3a1054208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |