
Tehdit aktörleri bağları Yapmak Fidye yazılımı ailesi, Kasım 2024’te gözlemlenen bir kampanyanın bir parçası olarak daha önce belgelenmemiş bir .NET derlenmiş yükleyici Netxloader ile birlikte Smokeloader olarak bilinen kötü amaçlı yazılımlardan yararlandı.
“Netxloader, siber saldırılarda kritik bir rol oynayan yeni bir .NET tabanlı yükleyicidir.” Dedi.
“Gizli olsa da, gündem fidye yazılımı ve dumanlı smokeloader gibi ek kötü amaçlı yükleri gizli bir şekilde dağıtıyor.
Gündem olarak da adlandırılan Qilin, Temmuz 2022’de tehdit manzarasında ortaya çıktığından beri aktif bir fidye yazılımı tehdidi oldu. Geçen yıl, siber güvenlik şirketi Halcyon, fidye yazılımının Qilin.b adlı gelişmiş bir versiyonunu keşfetti.

Grup-IB tarafından paylaşılan son veriler, Qilin’in veri sızıntı sitesinde yapılan açıklamaların Şubat 2025’ten bu yana iki kattan fazla arttığını ve Nisan ayı için en iyi fidye yazılımı grubu haline getirdiğini ve Akira, Play ve Lynx gibi diğer oyuncuları aştığını gösteriyor.
Singapurlu siber güvenlik şirketi geçen ayın sonlarında, “Temmuz 2024’ten Ocak 2025’e kadar, Qilin’in iştirakleri ayda 23 şirketi açıklamadı.” Dedi. “Fakat, […] Şubat 2025’ten bu yana açıklama miktarı önemli ölçüde arttı, 48 Şubat ayında, 44 Mart ayında ve Nisan ayının ilk haftalarında 45. “

Qilin’in ayrıca Ransomhub’ın geçen ayın başında ani kapanışından sonra bağlı kuruluşların akışından yararlandığı söyleniyor. Flashpoint’e göre, Ransomhub 2024’te en fazla aktif fidye yazılımı grubuydu ve Nisan 2024 ve Nisan 2025 arasında finans sektöründe 38 kurban olduğunu iddia etti.
Trend Micro’nun 2025’in ilk çeyreğinden itibaren verilerine göre, “Gündem fidye yazılımı faaliyeti öncelikle sağlık, teknoloji, finansal hizmetler ve telekomünikasyon sektörlerinde, Hollanda, Brezilya, Hindistan ve Filipinler’de gözlemlendi.”
Siber güvenlik şirketi Netxloader, harici sunuculardan alınan sonraki aşamalı yükleri başlatmak için tasarlanmış son derece şaşkın bir yükleyici olduğunu söyledi (örn. Bloglake7[.]CFD “), daha sonra Smokeloader ve gündem fidye yazılımlarını düşürmek için kullanılır.
.NET reaktör sürüm 6 ile korunan, geleneksel algılama mekanizmalarını atlamak ve tam zamanında (JIT) kanca tekniklerinin kullanımı ve görünüşte anlamsız yöntem adları ve kontrol akışı engelleri gibi analiz çabalarını direnmek için bir dizi hile içerir.

Trend Micro, “Operatörlerin netxloader kullanımı, kötü amaçlı yazılımların nasıl sunulduğunda önemli bir sıçrama.” Dedi. “Gerçek yükü gizleyen yoğun bir şekilde gizlenmiş bir yükleyici kullanıyor, yani kodu yürütmeden ve bellekte analiz etmeden gerçekte ne olduğunu bilemezsiniz. Dize tabanlı analiz bile yardımcı olmaz çünkü gizleme normalde yükün kimliğini ortaya çıkaracak ipuçlarını karıştırır.”
Saldırı zincirlerinin, netxloader’ı düşürmek için ilk erişim vektörleri olarak geçerli hesaplardan ve kimlik avından yararlandığı bulunmuştur, bu da daha sonra Smokeloader’ı ana bilgisayara yerleştirir. Smokeloader kötü amaçlı yazılım, sanallaştırma ve kum havuzu kaçırma yapmak için bir dizi adım gerçekleştirirken, aynı anda sabit kodlu çalışan süreçler listesini sonlandırır.
Son aşamada, Smokeloader, yansıtıcı DLL yükleme olarak bilinen bir teknik kullanarak gündem fidye yazılımını başlatan Netxloader’ı almak için bir komut ve kontrol (C2) sunucusu ile iletişim kurar.
Araştırmacılar, “Gündem fidye yazılımı grubu, bozulmaya neden olmak için tasarlanmış yeni özellikler ekleyerek sürekli olarak gelişiyor.” Dedi. “Farklı hedefleri arasında etki alanı ağları, monte edilmiş cihazlar, depolama sistemleri ve vCenter ESXI yer alıyor.”