İlk olarak 2024’te gözlenen kötü niyetli bir yükleyici olan Mintsloader, kötü şöhretli TAG-124 (Landupdate808) ve Socgholish grupları da dahil olmak üzere çoklu tehdit aktörlerinin cephaneliğinde zorlu bir araç olarak ortaya çıkmıştır.
Kimlik avı ve sürüşle indirme kampanyalarında tanımlanan bu kötü amaçlı yazılım, geleneksel güvenlik önlemlerini atlamak için ileri kaçış teknikleri kullanır ve bu da savunucular için kalıcı bir zorluk haline gelir.
Mintsloader’ın gizlenmiş JavaScript ve PowerShell komut dosyalarını içeren çok aşamalı enfeksiyon zinciri, Ghostweaver, Stealc ve Modifiye Berkeley Açık Altyapı gibi ikinci aşama yüklerin konuşlandırılmasını kolaylaştırır.
.png
)
Sandbox ve sanal makine kaçırma taktikleri, komut ve kontrol (C2) iletişim için bir alan üretim algoritması (DGA) ve HTTP tabanlı etkileşimler ile işaretlenmiş sofistike tasarımı, siber suçlu ekosistem içindeki artan profesyonelleşmenin altını çiziyor.
Kaydedilen Future’ın kötü amaçlı yazılım istihbarat avı, nane yükleyicinin dinamik altyapısını izlemede çok önemlidir ve özellikle kimlik avı e -postaları ve sahte tarayıcı güncelleme istemleri aracılığıyla enerji, hukuk ve endüstriyel gibi sektörler arasında sık kullanımını ortaya çıkarmıştır.
Kaçınma ve dağıtımın teknik karmaşıklıkları
Teknik temelleri araştıran Mintsloader, ikinci aşama yükü almak için PowerShell komutlarını yürüten ağır gizlenmiş JavaScript (birinci aşama) ile başlayan titizlikle hazırlanmış bir saldırı zinciri aracılığıyla çalışır.
Bu PowerShell betiği, çıplak metal veya taklit bir ortamda çalışıp çalışmadığını belirlemek için Win32_Videocontroller ve Win32_Cachememory gibi sistem sorgularını kullanarak kum havuzlarını veya sanallaştırılmış ayarları tespit etmek için ortam kontrolleri gerçekleştirir.
Sonuçlar, bir tuzak veya nihai yükün teslim edildiğini dikte ederek C2 sunucusuna gönderilen bir anahtar değişkeni etkiler.
Yükleyicinin DGA’sı, sistem tarihine göre günlük C2 alanları üreterek statik algılama ve altyapı izleme çabalarını karmaşıklaştırırken, anti-analiz mekanizmaları sanallaştırmaya bağlı otomatik araçları engeller.
Şubat 2024 ile 2025 başı arasında gözlemlenen kampanyalar, Insikt Group ve Orange CyberDefense tarafından bildirildiği gibi, Mintsloader’ın uyarlanabilirliğini vurgulamaktadır, enfeksiyon vektörleri İtalya’nın PEC e-posta sistemi üzerinden sahte captcha sayfalarına (ClickFix/Konguke) kandıran kullanıcılara kötü niyetli komuta çalıştırır.
Özellikle, benzer şekilde imzalanmış X.509 sertifikaları nedeniyle genellikle asyncrat olarak yanlış sınıflandırılan PowerShell tabanlı bir sıçan olan Ghostweaver, kötü niyetli C2 bağlantıları için yapılandırılmış STEALC ve BOINC varyantlarının yanı sıra birincil yüküdür.
Mintsloader’ın altyapı esnekliği, scalaxy-as-AS ve Stark Industries Solutions gibi kurşun geçirmez barındırma sağlayıcılarına geçişinde belirgindir.
Bu yükleyicinin kalıcı gizleme ve uyarlanabilir stratejileri, kötü amaçlı yazılım manzarasında bir fikstür olarak kalacağını ve siber savunuculara operasyonları ölçekte bozma zorlukları ve fırsatları sunacağını gösteriyor.
Tehdit aktörleri, Kuzey Amerika ve Avrupa’daki hedeflenen saldırılar için nane yükleyicisini kullanmaya devam ettikçe, siber güvenlik topluluğu, yıkıcı yüklerin gizli teslimatına karşı koymak için dinamik tehdit avına ve gerçek zamanlı C2 izlemeye öncelik vermelidir.
Bu kötü amaçlı yazılım, siber suçlardaki uzmanlığın operasyonel verimliliği nasıl artırabileceğini ve farklı tehdit grupları arasında daha fazla çoğalmadan etkisini azaltmaya neden olan proaktif bir duruşa neden olabileceğini örneklemektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!