Saldırı yeteneklerinin önemli bir evriminde, Gündem Ransomware Group yakın zamanda Smokeloader kötü amaçlı yazılım ve Netxloader olarak adlandırılan yeni bir .NET tabanlı yükleyici Arsenal’e dahil etti.
Kasım 2024’te başlatılan kampanyalarda gözlenen bu gelişme, tehdit oyuncunun teknik sofistike ve saldırılarının etkisini en üst düzeye çıkarırken tespit mekanizmalarından kaçınma yeteneğinde önemli bir yükseltmeyi işaret ediyor.
2025’in ilk çeyreğinden itibaren son saldırı verilerine göre, gündem fidye yazılımı öncelikle sağlık, teknoloji, finansal hizmetler ve telekomünikasyon sektörlerindeki kuruluşları hedeflemiştir.
.png
)
Bu saldırıların coğrafi kapsamı ABD, Hollanda, Brezilya, Hindistan ve Filipinler dahil olmak üzere birçok ülkeyi kapsamaktadır.
Özellikle, fidye yazılımının kendisi, GO programlama dilinde geliştirilmekten paslanmaya dönüştü ve sanal ortamlarda uzaktan yürütme ve gelişmiş yayılma özellikleri gibi gelişmiş özellikleri içeriyordu.
Trend mikro araştırmacıları, bu yeni saldırı zincirinin duman yükleyicisini bir ara yük olarak kullandığını belirlerken, Netxloader sonraki kötü amaçlı bileşenlerin dağıtımını kolaylaştıran ilk aşama yükleyici olarak hizmet veriyor.
Araştırma ekibine 7 Mayıs 2025’te yayınlanan kapsamlı analizlerinde “Yeni yükleyici hassas veri hırsızlığı ve cihaz uzlaşması riskini artırıyor” dedi.
Netxloader’ın ortaya çıkışı, tespitten kaçınmak için tasarlanmış kötü niyetli alanların genişleyen bir altyapısına bağlıdır.
Tehdit aktörleri, bloglake7 gibi tek kullanımlık, dinamik olarak oluşturulan alanlardan yararlanıyor7[.]CFD, MXBook17[.]CFD ve MXBLOG77[.]CFD, genellikle benign blog ile ilgili hizmetler olarak maskelenen yükleri barındırır.
Bu alanlar, geçici barındırma platformları oluşturmak için kelimeleri randomize sayılar ve düşük geri alınan üst düzey alanlarla birleştiren farklı bir desen izler.
Saldırı zinciri Netxloader ile başlar, duman yükleyici aracılığıyla ilerler ve gündem fidye yazılımlarının dağıtımıyla sonuçlanır ve etkili yük dağıtım ve yürütme sağlarken gizliliği en üst düzeye çıkaran çok aşamalı bir enfeksiyon süreci oluşturur.
.webp)
Netxloader’ın analizi
Netxloader, kontrol akışını gizleyen .NET reaktörü 6 obfusation ile korunan yükleyici teknolojisinde önemli bir ilerlemeyi temsil eder, bu da ters mühendisliği son derece zorlaştıran, kontrol akışı gizlemesi, anti-zımpara ve anti-Ildasm özellikleri kullanır.
Yükleyici, bir tertibatı şifre çözülmüş bir kaynaktan dinamik olarak yükler, daha sonra yansıma kullanarak gizlenmiş adlarla yöntemleri çağırmak için türleri aracılığıyla yineleyebilir.
Netxloader’ın temel bir özelliği, özellikle clrjit.dll kütüphanesinin compilemethod () işlevini hedefleyen JIT kanca tekniklerini kullanmasıdır.
Yer tutucu yöntemlerini çalışma zamanında gerçek MSIL bayt moduyla dinamik olarak değiştirmek için bu işleve bağlanır ve geleneksel algılama mekanizmalarından etkili bir şekilde kaçar.
Yükleyicinin kod yapısı, sofistike kaçırma tekniklerini ortaya çıkarır:-
// Token: 0x06000002 RID: 2 RVA: 0x000020B4 File Offset: 0x00000284
public static void Main()
{
string username = Environment.UserName;
Assembly assembly = null;
try
{
assembly = Assembly.Load(username);
}
catch
{
assembly = Assembly.Load(Kjeeqlm.Duivbgikpyx().Decrypt());
}
Type[] types = assembly.GetTypes();
for (int i = 0; i < types.Length; i++)
{
Type type = types[i];
if (!(type == null) && !type.IsEnum)
{
try
{
type.InvokeMember("c0AqjVLHS", BindingFlags.InvokeMethod, null, null, null);
}
catch
{
}
}
}
}Şifre çözüldükten sonra Netxloader, yükünü çözmek için AE'leri kullanır, bu da daha sonra Gzipstream kullanılarak dekomprese edilir.
Dekom sıkıştırılmış yük, sonuçta smokeloader'ın yürütülmesine yol açan kabuk kodu içerir ve bu da gündem fidye yazılımını indirir ve yürütür.
Kötü amaçlı yazılım dağılımı dikkatle düzenlenmiştir, yürütülebilir ürünler kurban sistemlerinde standart adlandırma kurallarını benimsemektedir.
Örneğin, rh10j0n.exe gibi sahte rastgele adlara sahip dosyalar, iki ila üç harfli önek ve ardından 111.exe ile standart bir formata basitleştirilir ve yükün kimliğini dosya adından ayırırken yanlış bir meşruiyet duygusu oluşturur.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.