Gelişmiş bir Truva atı olan Zloader, son zamanlarda gizliliğini ve yıkıcı potansiyelini artıran özelliklerle gelişti; en son sürüm olan 2.9.4.0, geleneksel ağ güvenliği önlemlerini atlayarak gizli C2 iletişimleri için özel bir DNS tüneli sunuyor.
Etkileşimli bir kabuk, saldırganlara virüs bulaşmış sistemler üzerinde ayrıntılı kontrol sağlar ve fidye yazılımı dağıtımı gibi gelişmiş saldırıları kolaylaştırır; burada Zloader’ın gelişmiş anti-analiz teknikleri ve hedefli saldırı vektörleri de dahil olmak üzere acımasız uyarlaması, dünya çapındaki kuruluşlar için kalıcı bir tehdit oluşturur.
Dağıtımı, büyük ölçekli spam kampanyalarından, AnyDesk, TeamViewer ve Microsoft Quick Assist gibi RMM araçlarını içeren çok aşamalı bir enfeksiyon zinciri olarak gözlemlendiğinden, genellikle ses tabanlı kimlik avından yararlanan daha küçük, hedefli saldırılara doğru geçiş yaptı.
Yeni tanımlanan bir veri yükü olan GhostSocks, bu zincirde çok önemli bir bileşen gibi görünüyor ve saldırganların geleneksel savunmaları aşmak için giderek daha karmaşık tekniklere başvurduğu siber tehditlerin gelişen manzarasını vurgulayan Zloader’ı dağıtmak için kullanılıyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Yapılandırması artık şifre çözme için RC4 anahtarını türetmek amacıyla XOR işlemlerini kullanıyor; yapılandırmadaki yeni bölümler, Zloader’ın DNS kayıtları aracılığıyla özel bir protokol kullanan DNS tünelleme yeteneğini ortaya koyuyor ve ayrıca C2 iletişimi için geri dönüş DNS sunucularını da içeriyor.
Zloader 2.9.4.0, kayıt defteri tabanlı ortam kontrolünü atlar ancak adının sabit kodlanmış bir değerle eşleşip eşleşmediğini kontrol eden ve bir bot kimliğinin MD5 karmasını (bilgisayar adı, kullanıcı adı ve yükleme tarihi dahil) hesaplayan yeni bir yöntem uygular.
Daha sonra karma değeri, yürütülebilir dosyanın .rdata bölümünde depolanan bir değere göre doğrular ve eşleşmezlerse Zloader, korumalı alan ortamından şüphelenerek sonlandırılır.
Bulaşma sırasında, .rdata bölümüne işaret eden değiştirilmiş bir MZ başlığına sahip bir kopya oluşturur ve beklenen bot kimliği karmasını buraya yazar ve orijinalini silerek değiştirilmiş yürütülebilir dosyayı başlatır.
Zloader’ın API çözünürlüğü, küçük harfli işlev adlarına sahip değiştirilmiş bir CRC algoritması ve sabit değerli bir XOR işlemi kullanacak şekilde geliştirildi; artık işlev başına iki DWORD değeri kullanarak DLL dizinlerini dinamik olarak hesaplıyor.
Zloader 2.9.4.0, ikili dosyaların, kabuk kodunun, dosya aktarımlarının, süreç yönetiminin ve dizin navigasyonunun yürütülmesine yönelik komutlar içeren etkileşimli bir kabuk sunarak, tehdit aktörlerinin gelişmiş işlemleri uzaktan gerçekleştirmesine olanak tanıyor.
Zscaler’a göre kötü amaçlı yazılım, Zeus VisualEncrypt ve RC4 anahtarıyla iletişimi şifreleyen birincil C2 iletişim kanalı olarak POST istekleriyle HTTPS’yi kullanıyor.
DNS’nin üzerinde özel bir protokol kullanır ve oturum kimliği, sıra numarası, mesaj türü vb. içeren bir başlık ve sunucunun farklı amaçlar için A veya AAAA kayıtlarıyla yanıt verdiği bir veri yükü içeren kendi DNS paketlerini oluşturur.
Gelişen bir kötü amaçlı yazılım olan Zloader, algılamayı atlamak için giderek daha fazla DNS tüneli kullanıyor; bu da onun gizli iletişim kanalları kurmasına olanak tanıyarak tanımlanmasını ve engellenmesini zorlaştırıyor.
Zloader’ın arkasındaki tehdit aktörleri, sistemleri tehlikeye atma ve fidye yazılımı saldırılarını kolaylaştırma yeteneklerini sürekli olarak geliştiriyor. Riskleri azaltmak için kuruluşların hem web hem de DNS trafiğini denetlemek de dahil olmak üzere sağlam güvenlik önlemleri alması gerekir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin