Manuel Statik Analiz — WarzoneRAT/AveMaria | Tehdit: YUKSEK

Dosya Kimliği

SHA256c052348a58892d3a1054208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıپی او 14052001558.exe (Farsça "Purchase Order"!)
Boyut1.054.208 byte (1MB)
String Sayisi26.962

Farsça Tuzak: Orta Doğu Hedefleme

KRITIK: Farsça yazılı dosya adı!
پی او 14052001558.exe
-- "پی او" = Farsça "PO" = Purchase Order (Satın Alma Emri)
-- "14052001558" = belge numarası veya tarih kodu
-- Farsça (Iran, Afganistan, Tacikistan dili)
-- Orta Doğu kurumsal hedefler: İranlı/Afgan şirketler
-- BFIN ve tedarik zinciri BEC saldırısı!
-- İran'da İngilizce değil Farsça kullanımı → yerel hedefleme
-- config, config1, config2 = gömülü çoklu konfigürasyon

MySqlConnection: C2 Veri Deposu

MySqlConnection
-- WarzoneRAT/AveMaria MySQL kullanıyor!
-- Kurbanlardan çalınan veri doğrudan MySQL veritabanına yazılır
-- C2 panel backend: MySQL
-- Credential, keylog, screenshot → MySQL INSERT INTO victims TABLE
-- C2'ye erişim için panel: PHP/MySQL web uygulaması

IOC

SHA256c052348a58892d3a1054208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Lureپی او 14052001558.exe (Farsça Purchase Order)
HedefOrta Doğu (İran/Afganistan)

AveMaria2 — Malware Profile

WarzoneRAT AveMaria .NET RAT. Farsi PO lure Orta Dogu hedefleme. MySqlConnection C2 data storage. Credential theft.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/MySQL
Target Systems
Orta Dogu/MENA

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — AveMaria2
# SHA256 c052348a58892d3a1054208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 c052348a58892d3a1054208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
warzoneratavemariafarsi-filenamepersian-purchase-ordermiddle-east-targetingmysqlconnection-c2po-lurebec-attack