Qilin olarak da bilinen gündem fidye yazılımı grubunun, 2025’in ilk çeyreğinde, ABD, Hollanda, Brezilya, Hindistan ve Filipinler genelindeki sağlık, teknoloji, finansal hizmetler ve telekomünikasyon gibi kritik sektörleri hedefleyen saldırılarını yoğunlaştırdığı bildirilmiştir.
Trend Micro tarafından ayrıntılı bir analize göre, grup, Netxloader adlı yeni tanımlanmış .NET tabanlı bir yükleyiciyi kötü şöhretli dumazın yanında entegre ederek cephaneliğini geliştirdi.
İlk olarak Kasım 2024’te gözlenen bu stratejik ilerleme, bu araçların gizli doğası nedeniyle hassas veri hırsızlığı ve cihaz uzlaşması riskini artırmıştır.
.png
)
.NET reaktörü 6 tarafından korunan Netxloader, kontrol akışı gizleme ve JIT kancası gibi sofistike gizleme teknikleri kullanır, statik analizi neredeyse imkansız hale getirir ve ters mühendislik çabalarını karmaşıklaştırır.
Bu yükleyici, dinamik API çağrıları ve bellek manipülasyonu yoluyla geleneksel algılama mekanizmalarını atlayarak gündem fidye yazılımı ve duman yükleyici gibi kötü amaçlı yükleri doğrudan belleğe yerleştirir.
Teknik sofistike ve kaçınma taktikleri açıklandı
Netxloader’ın teknik gücü, karmaşık tasarımında yatmaktadır ve şüpheden kaçınmak için aldatıcı adlandırma kurallarına sahip kötü niyetli alanların genişleyen bir altyapısını kullanır.
Bloglake7 gibi alanlar7[.]CFD ve MXBLOG77[.]CFD, daha sonra yanlış bir meşruiyet duygusu için RH10J0N.EXE gibi sahte rastgele adlarla yürütülebilir ürünler sunarken, genellikle iyi huylu hizmetleri taklit ederek, yük yükü dağıtım için geçici merkez görevi görür.
Yükleyicinin, anlamsız yöntem adları ve gizli MSIL bayt kodu ile dolu gizlenmiş kodu, çalışma zamanında yer tutucu yöntemlerini değiştirmek için Clrjit.dll kütüphanesine kancalar, güvenlik önlemlerini daha da engeller.
Netreactorslayer gibi araçları kullanarak deobfuscation üzerine araştırmacılar, AES ve Gzipstream’i içeren şifre çözme rutinlerini ortaya çıkardılar, bu da sonuçta VirtualAlloc ve CreateThead gibi işlevleri kullanarak bellekte yükleri yürüttüler.
Eşzamanlı olarak, Smokeloader, sanallaştırılmış veya hata ayıklanan ortamlarda tespit edilmesini önlemek için opak tahminler, dinamik API çözünürlüğü ve sistem kontrolleri gibi anti-analiz teknikleri kullanarak gelişmiş kaçakçılığı gösterir.
Özellikle Windows Vista veya daha yeni sistemleri hedefler, analiz araçlarıyla bağlantılı süreçleri sona erdirir ve kendini explorer.exe’ye enjekte eder ve kalıcılık ve ayrıcalık artışına rafine bir yaklaşım sergiler.
Gündem saldırı zincirindeki bu araçların sinerjisi, grubun platformlar arası uyumluluk ve gelişmiş kaçaklama için özel paketleyiciler için pust’a kaymasıyla kolaylaştırılan alan ağları ve sanal ortamlar da dahil olmak üzere çeşitli hedeflerdeki aksamaları en üst düzeye çıkarmak için kasıtlı bir çabanın altını çiziyor.
Trend Micro’nun Vision One platformu, bu tehditlerin tespit edilmesi ve engellenmesinde çok önemlidir, bu tür sofistike kampanyaların önünde kalmak için işletmelere eleştirel av sorguları ve tehdit zekası sunar.
Gündem adapte olmaya devam ettikçe, kuruluşlar bu gelişmiş kötü amaçlı yazılım dağıtım mekanizmalarının ortaya koyduğu gelişen riskleri azaltmak için çok katmanlı güvenlik stratejileri, titiz erişim kontrolleri ve proaktif izleme benimsemelidir.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir