Siber güvenlik araştırmacıları, Rus fidye yazılımı çeteleri tarafından Cobalt Strike ve AdaptixC2 gibi sömürü sonrası araçlar ve PurEHVNC Rat olarak bilinen uzaktan erişim truva atı araçları sunmak için kullanıma alınan yeni bir kötü amaçlı yazılım kodlayıcısı keşfettiler.
Silent Push bir analizde, “CountLoader, bir başlangıç erişim komisyoncusu (IAB) araç setinin bir parçası olarak veya Lockbit, Black Basta ve Qilin fidye yazılım gruplarıyla bağları olan bir fidye yazılımı üyesi tarafından kullanılıyor.” Dedi.
Üç farklı versiyonda-.NET, PowerShell ve JavaScript-görünen tehdit, Ukrayna’daki bireyleri PDF tabanlı kimlik avı yemini kullanarak hedefleyen ve Ukrayna Ulusal Polisi taklit eden bir kampanyada gözlemlendi.
Kötü amaçlı yazılımın PowerShell versiyonunun, daha önce Kaspersky tarafından kullanıcıları yüklemeye kandırmak için Deepseek ile ilgili tuzaklar kullanılarak dağıtıldığı için işaretlendiğini belirtmek gerekir.
Rus siber güvenlik satıcısına göre saldırılar, tehdit aktörleri tarafından kontrol edilen bir proxy aracılığıyla trafiği zorlamak için tüm tarama örneklerini yeniden yapılandırabilen ve saldırganların ağ trafiğini manipüle etmesini ve veri toplamasını sağlayabilen Browservenom adlı bir implantın dağıtılmasına yol açtı.
Silent Push’un araştırması, JavaScript sürümünün, dosya indirme için altı farklı yöntem, çeşitli kötü amaçlı yazılım ikili dosyaları yürütmek için üç farklı yöntem ve bir kurbanın cihazını Windows alan adı bilgilerine dayalı olarak tanımlamak için önceden tanımlanmış bir fonksiyon sunan yükleyicinin en etli uygulaması olduğunu buldu.
Kötü amaçlı yazılım ayrıca, Chrome Web tarayıcısı için bir Google güncelleme görevini taklit eden ve daha fazla talimat beklemek için uzak bir sunucuya bağlanan planlanmış bir görev oluşturarak sistem bilgilerini toplayabilir, ana bilgisayar üzerinde kalıcılık oluşturabilir.
Bu, Runddll32.exe ve msiexec.exe, Sistem Meta verilerini ileten ve oluşturulan planlanan görevi silme DLL ve MSI yükleyici yüklerini indirme ve çalıştırma yeteneğini içerir. Dosyaları indirmek için kullanılan altı yöntem Curl, PowerShell, MSXML2.xmlHttp, Winhttp.winhttpRequest.5.1, Bitutil.exe kullanımını içerir.
Silentoader’ın geliştiricileri, “‘Certutil’ ve ‘Bitsadmin’ gibi lolbins kullanarak ve bir ‘anında’ komut şifreleme powerShell jeneratörü uygulayarak, CountLoader’ın geliştiricileri burada Windows işletim sistemi ve kötü amaçlı yazılım geliştirme hakkında gelişmiş bir anlayış gösteriyor.” Dedi.
CountLoader’ın dikkate değer bir yönü, kurbanın müzik klasörünü kötü amaçlı yazılım için bir sahneleme zemini olarak kullanmasıdır. .NET Flavor, JavaScript karşılığı ile bir dereceye kadar fonksiyonel geçit paylaşır, ancak azaltılmış, soyulmuş bir sürümü gösteren yalnızca iki farklı komut türünü (updateType.zip veya updateType.exe) destekler.
CountLoader, 20’den fazla benzersiz alandan oluşan bir altyapı tarafından desteklenmektedir, kötü amaçlı yazılımlar Cobalt Strike, ADAPTIXC2 ve PurEHVNC Rat için bir kanal olarak hizmet vermektedir, bunların sonuncusu Purecoder olarak bilinen bir tehdit aktöründen ticari bir tekliftir. PureHVNC Rat’ın Purerat’ın selefi olduğunu belirtmek gerekir, bu da ResolverRat olarak da adlandırılır.
PurEhvnc Rat dağıtan son kampanyalar, denenmiş ve test edilmiş ClickFix sosyal mühendislik taktiğinden bir teslimat vektörü olarak kullandı ve kurbanlar, kontrol noktası başına sahte iş teklifleri aracılığıyla ClickFix kimlik avı sayfasına çekildi. Truva atı pas bazlı bir yükleyici vasıtasıyla dağıtılır.
Siber güvenlik şirketi, PureCoder’ı Purerat’ın işlevselliğini destekleyen döner bir dizi ev sahibi olmak için döner bir Github hesapları kümesi kullandığını açıklayan, “Saldırgan, sahte iş reklamları yoluyla kurbanı çekti ve ClickFix Kimlik Avı tekniği aracılığıyla kötü niyetli PowerShell kodu yürütmesine izin verdi.” Dedi.
Github taahhütlerinin analizi, diğerlerinin yanı sıra Rusya da dahil olmak üzere birçok ülkeye karşılık gelen UTC+03: 00 saat diliminden faaliyetin gerçekleştirildiğini ortaya koymuştur.
Geliştirme, Domaintools Soruşturma ekibinin, Rus fidye yazılımı manzarasının birbirine bağlı doğasını ortaya çıkardığında, gruplar arasındaki tehdit aktör hareketlerini ve Anydesk ve Hızlı Assist gibi araçların kullanımını belirleyerek operasyonel çakışmalar önermektedir.
Domaintools, “Bu operatörler arasındaki marka bağlılığı zayıf ve insan sermayesi belirli kötü amaçlı yazılım suşlarından ziyade birincil varlık gibi görünüyor.” Dedi. “Operatörler piyasa koşullarına uyum sağlar, yayından kaldırmalara yanıt olarak yeniden organize olurlar ve güven ilişkileri kritiktir. Bu bireyler, kuruluşun adına bakılmaksızın tanıdıkları insanlarla çalışmayı seçecekler.”