Yükleyici kötü amaçlı yazılımın arkasındaki tehdit aktörleri Kaçak Yükleyici Kötü amaçlı yazılımın diğer tehdit aktörleri tarafından ek yük ve araçlar sağlamak amacıyla giderek daha fazla kullanılmaya devam etmesi nedeniyle, savunmadan kaçınmaya yönelik yeni teknikler ekledik.
CrowdStrike araştırmacıları Donato Onofri ve Emanuele Calvelli Çarşamba günkü bir analizde, “Kötü amaçlı yazılım geliştiricisi, ana sürecin bir kanala yazılmasıyla etkinleştirilen ek bir tetikleyiciyle birlikte standart bir süreç oyma tekniği kullandı.” dedi. “Bu yeni yaklaşım, savunmadan kaçmayı daha gizli hale getirme potansiyeline sahip.”
HijackLoader’ın ilk kez Eylül 2023’te Zscaler ThreatLabz tarafından DanaBot, SystemBC ve RedLine Stealer’ı sunmak için bir kanal olarak kullanıldığı belgelendi. Ayrıca IDAT Loader olarak bilinen başka bir yükleyiciyle de yüksek derecede benzerlik taşıdığı biliniyor.
Her iki yükleyicinin de aynı siber suç grubu tarafından çalıştırıldığı değerlendiriliyor. Aradan geçen aylarda HijackLoader, ClearFake aracılığıyla yayıldı ve TA544 (diğer adıyla Narwhal Spider, Gold Essex ve Ursnif Gang) tarafından kimlik avı mesajları aracılığıyla Remcos RAT ve SystemBC’yi dağıtmak için kullanıldı.
CrowdStrike tehdit araştırma ve raporlama direktörü Liviu Arsene, The Hacker News ile paylaşılan bir açıklamada, “Yükleyicileri koyun kılığına girmiş kurtlar gibi düşünün. Amaçları gizlice içeri girmek, daha karmaşık tehditleri ve araçları tanıtmak ve uygulamaktır” dedi.
“HijackLoader’ın (diğer adıyla IDAT Loader) bu yeni çeşidi, yeni teknikler ekleyerek ve bunları deneyerek sinsi oyununu hızlandırıyor. Bu, onun kılık değiştirmesini geliştirmeye benzer, onu daha gizli, daha karmaşık ve analiz edilmesi daha zor hale getiriyor. Esasında, onlar’ dijital kamuflajlarını yeniden geliştiriyorlar.”
Çok aşamalı saldırı zincirinin başlangıç noktası, aktif bir internet bağlantısını kontrol eden ve uzak bir sunucudan ikinci aşama konfigürasyonunu indirmeye devam eden yürütülebilir bir dosyadır (“streaming_client.exe”).
Yürütülebilir dosya daha sonra, analizin karmaşıklığını ve savunmadan kaçınma yeteneklerini artıran işlem doppelgänging ve süreç oyma tekniklerinin bir kombinasyonu yoluyla HijackLoader yükünün başlatılmasından sorumlu kabuk kodunu etkinleştirmek için yapılandırmada belirtilen meşru bir dinamik bağlantı kitaplığını (DLL) yükler.
Araştırmacılar, “HijackLoader’ın ikinci aşaması, konumdan bağımsız kabuk kodu daha sonra Heaven’s Gate’i kullanarak kullanıcı modu kancalarını atlamak için bazı kaçınma faaliyetleri gerçekleştiriyor ve ardından gelen kabuk kodunu cmd.exe’ye enjekte ediyor” dedi.
“Üçüncü aşama kabuk kodunun enjeksiyonu, yeni oluşturulan cmd.exe alt işlemine içi boş bir mshtml.dll’nin enjekte edilmesiyle sonuçlanan bir işlem boşluğu varyasyonu yoluyla gerçekleştirilir.”
Heaven’s Gate, kötü amaçlı yazılımların, Windows’taki 32 bit işlemlerde 64 bit kod çağırarak, kullanıcı modu kancalarını etkili bir şekilde atlayarak uç nokta güvenlik ürünlerinden kaçmasına olanak tanıyan gizli bir hileyi ifade eder.
HijackLoader saldırı dizilerinde gözlemlenen temel kaçınma tekniklerinden biri, daha önce Osiris bankacılık truva atı gibi kötü amaçlı yazılımlarda gözlemlenen, transacted oyuklama adı verilen bir süreç enjeksiyon mekanizmasının kullanılmasıdır.
Arsene, “Yükleyicilerin, düşmanların daha karmaşık kötü amaçlı yazılımları ve araçları ilk aşamalarda varlıklarını yakmadan tanıtmaları ve çalıştırmaları için gizli başlatma platformları olarak hareket etmesi amaçlanıyor.” dedi.
“HijackLoader (diğer adıyla IDAT Loader) için yeni savunmadan kaçınma yeteneklerine yatırım yapmak, potansiyel olarak onu daha gizli hale getirme ve geleneksel güvenlik çözümlerinin radarının altında uçma girişimidir. Yeni teknikler, mevcut savunmadan kaçınma yeteneklerinin hem kasıtlı hem de deneysel bir evriminin sinyalini verirken, aynı zamanda Tehdit araştırmacıları için analizin karmaşıklığını artırıyor.”