Ekim 2024’te keşfedilen yeni bir kötü amaçlı yazılım ailesi olan RiseLoader, ikinci aşama veri yüklerini indirmek ve yürütmek için RisePro’ya benzer özel bir TCP tabanlı ikili protokolden yararlanıyor.
RisePro’nun geliştirilmesinin Haziran 2024’te durdurulmasına rağmen, RiseLoader’ın ortaya çıkışı, RisePro ve PrivateLoader’ın arkasındaki tehdit grubuyla potansiyel bir bağlantı olduğunu gösteriyor.
Kötü amaçlı yazılım, kod gizleme için genellikle VMProtect’i kullanıyor ve Vidar, Lumma Stealer, XMRig ve Socks5Systemz dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerini PrivateLoader’ın işleyiş tarzına uygun olarak dağıttığı gözlemlendi.
Ayrıca kripto para birimiyle ilgili uygulamalar ve tarayıcı uzantıları hakkında da bilgi toplayarak kötü niyetli niyetini daha da vurguluyor.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Araştırmacılar, RiseLoader kötü amaçlı yazılımını analiz etti ve bunun VMProtect paketleyicisini kullandığını ve mevcut ancak kullanılmayan hata ayıklayıcılar ve analiz araçlarıyla ilgili dizeleri gizlediğini buldu; bu, bu araçların varlığını kontrol eden anti-analiz özelliklerinin gelecekte potansiyel olarak uygulanmasını öneriyor.
Akrabaları RisePro ve PrivateLoader’ın aksine, RiseLoader şu anda bir muteks oluşturarak ve rastgele bir C2 sunucusu seçerek ve komutları ve yük URL’lerini almak için onunla iletişim kurarak kalıcılık sağlayan yığın tabanlı dize gizleme tekniklerinden yoksundur.
Bu işlemleri yürütmek için birden fazla iş parçacığı oluşturur; bunlardan biri C2 komutlarını sürekli olarak kontrol etmek ve işlemek, diğeri ise sağlanan URL’lerden yükleri indirmek ve yürütmek için kullanılır.
Zscaler’e göre yükler, DLL’ler için rundll32 ve yürütülebilir dosyalar için işlem oluşturma gibi uygun yöntemler kullanılarak yürütülür ve tüm veriler yürütüldüğünde RiseLoader sonlandırılır.
.webp)
RiseLoader, bir C2 sunucusuyla bir TCP bağlantısı kurar, XOR anahtarlarını şifreli iletişim için değiştirir ve sistem bilgilerini ve sunucunun yük URL’lerini ve yürütme talimatlarını gönderdiği benzersiz bir tanımlayıcıyı gönderir.
Bu yükleri indirir ve çalıştırır, başarı veya başarısızlığı bildirir.
Hem istemci hem de sunucu, bağlantıyı sürdürmek için periyodik olarak KEEPALIVE mesajları gönderir; burada sunucu, kapatmayı zorlayabilir veya kampanya kimliğini değiştirebilir.
C2 sunucusuyla şifreli bağlantı kurarak, güvenli iletişim için XOR anahtarlarını alışverişinde bulunur ve ardından sistem bilgilerini toplayıp sunucuya gönderir.
Yük URL’lerini aldıktan sonra bunları indirip çalıştırır ve potansiyel olarak enfeksiyon işaretçisi olarak bir kayıt defteri anahtarı oluşturur.
Yükün yürütülmesinden sonra bir izleme pikseli indirir ve sonlandırılır. İletişim protokolü, şifrelenmiş JSON mesajları içeren özel bir ikili TCP tabanlı protokol ve benzer bir el sıkışma süreci de dahil olmak üzere RisePro ile benzerlikler paylaşıyor.
Davranışsal benzerlikler ve bırakılan kötü amaçlı yazılım aileleri bir bağlantıya işaret ederken, RiseLoader’ın benzersiz iletişim protokolü RisePro’nunkiyle güçlü bir şekilde uyum sağlar; çünkü mesaj yapısı, başlatma ve yük formatı dahil olmak üzere bu paylaşılan protokol, ortak bir kökene ilişkin kanıtları daha da güçlendirir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin