More_eggs kötü amaçlı yazılımının arkasındaki tehdit aktörlerinin iki yeni kötü amaçlı yazılım ailesiyle bağlantılı olması, hizmet olarak kötü amaçlı yazılım (MaaS) operasyonunun genişlediğine işaret ediyor.
Bu, RevC2 adı verilen yeni bir bilgi çalma arka kapısını ve kod adı Venom Loader olan bir yükleyiciyi içeriyor; bunların her ikisi de, takip eden yüklerin konuşlandırılması için bir başlangıç erişim vektörü olarak hizmet veren bir zımba aracı olan VenomLNK kullanılarak konuşlandırılıyor.
Zscaler ThreatLabz araştırmacısı Muhammed Irfan VA, “RevC2, komut ve kontrol (C2) sunucusuyla iletişim kurmak için WebSockets’i kullanıyor. Kötü amaçlı yazılım, çerezleri ve şifreleri çalabiliyor, ağ trafiğini proxy olarak kullanabiliyor ve uzaktan kod yürütmeye (RCE) olanak tanıyor” dedi.
“Venom Loader, yükü kodlamak için kurbanın bilgisayar adını kullanan, her kurban için özelleştirilmiş yeni bir kötü amaçlı yazılım yükleyicisidir.”
Her iki kötü amaçlı yazılım ailesi de siber güvenlik şirketi tarafından Ağustos ve Ekim 2024 arasında gözlemlenen kampanyalar kapsamında dağıtıldı. E-suç tekliflerinin arkasındaki tehdit aktörü Venom Spider (diğer adıyla Altın Tavuklar) olarak takip ediliyor.
Kesin dağıtım mekanizması şu anda bilinmiyor, ancak kampanyalardan birinin başlangıç noktası, PNG tuzak görüntüsü görüntülemenin yanı sıra RevC2’yi çalıştıran VenomLNK’dir. Arka kapı, Chromium tarayıcılardan şifreleri ve çerezleri çalmak, kabuk komutlarını yürütmek, ekran görüntüleri almak, SOCKS5 kullanarak proxy trafiği almak ve komutları farklı bir kullanıcı olarak çalıştırmak için donatılmıştır.
İkinci harekat da VenomLNK’nin bir yem görüntüsü sunması ve aynı zamanda Venom Loader’ın gizlice çalıştırılmasıyla başlıyor. Yükleyici, JavaScript arka kapısının yalnızca RCE yetenekleri sağlayan hafif bir çeşidi olan More_eggs lite’ın başlatılmasından sorumludur.
Yeni bulgular, geçen yıl Kanada ve Romanya’dan iki kişinin MaaS platformunu çalıştırdığı ortaya çıkmasına rağmen, kötü amaçlı yazılım yazarlarının özel araç setlerini yeni kötü amaçlı yazılımlarla yenilemeye ve iyileştirmeye devam ettiğinin bir işareti.
Açıklama, ANY.RUN’un, açık kaynaklı Quasar RAT kötü amaçlı yazılımını dağıtmak için kullanılan PSLoramyra adlı, daha önce belgelenmemiş, dosyasız yükleyici kötü amaçlı yazılım hakkında ayrıntılı bilgi vermesiyle geldi.
“Bu gelişmiş kötü amaçlı yazılım, kötü amaçlı yükleri bir sisteme enjekte etmek, bunları doğrudan bellekte yürütmek ve kalıcı erişim oluşturmak için PowerShell, VBS ve BAT komut dosyalarından yararlanıyor” dedi.