Siber güvenlik topluluğu şu anda ilgi alanında bir artış gözlemliyor Olymp yükleyiciyakın zamanda tanıtılan bir Hizmet Olarak Mal Yazılım (MAAS) platformu tamamen montajda yazılmıştır.
İlk olarak Haziran 2025’in başlarında yeraltı forumları ve telgraf kanallarında ilan edilen Olymp Loader, ilkel bir botnet konseptinden sofistike bir yükleyici ve crypter süitine hızla gelişti.
Takma ad altında faaliyet gösteren yazarı Olympgelişmiş tasarımının modern antivirüs motorlarını atlayabileceğini ve makine öğrenimi tabanlı sezgisel yöntemlerden kaçabileceğini iddia ederek hizmeti tamamen tespit edilemez (FUD) olarak ortaya koyuyor.
Erken benimseyenler, kimlik bilgisi stealer’ları, krypters’ı ve ayrıcalık yükseltme mekanizmalarını entegre eden modüler mimarisini övüyor.
Araştırma, Olympo’nun arkasındaki tehdit aktörünün kapsamlı montaj programlama uzmanlığına sahip küçük bir ekip olduğunu göstermektedir.
HackForums ve diğer yeraltı mekanlarında bildirildiği gibi, yük modülleri için derin xor şifrelemesi, UAC – flood ayrıcalık artışı ve otomatik Windows Defender istisnaları gibi özellikler uyguladılar.
5 Ağustos 2025’te Olympo, 50 ABD Doları’nda temel bir saplama ile 200 USD’de tamamen özelleştirilmiş bir enjeksiyon hizmetine kadar fiyatlandırma katmanlarının bir “Defender-yol” baypası, Defender-Removal Modülü ve Otomatik Sertifika İmzalama Örnekleri bir meşruiyet kaplaması vermek için.
.webp)
Outpost24 analistleri, vahşi doğada çok sayıda Olymp yükleyici örneğini belirledi, genellikle meşru yazılım olarak görüntülendi.
Örneğin, ikili dosyalar NodeJs[.]exe deponun altındaki GitHub sürümleri yoluyla dağıtıldı Morleorchid65testingNode.js yürütülebilir dosyalarında geliştirici güvenini kullanmak.
Diğer durumlarda, yükleyici OpenSSL, Zoom, Putty ve Capcut için sahte montajcılar olarak teslim edildi, hatta kurbanları kandırmak için bilinen uygulamalardan resmi simgeler ve sertifikalar ödünç alıyordu.
Enfeksiyon mekanizması ve kalıcılık
Yürütme üzerine Olymp Yükleyici, kalıcılık oluşturmak ve savunmaları devre dışı bırakmak için çok aşamalı bir süreç başlatır.
Haziran ayında gözlemlenen ilk örnekler basit bir toplu komut dosyası kullandı: Yürütülebilir dosyayı kullanıcının AppData Dizini’ne kopyalamak ve bir yumurtlamak cmd[.]exe çalıştırma işlemi timeout komuta, ardından yeni konumdan yeniden yürütme.
.webp)
Başlangıç klasöründe bir giriş oluşturmak için bir PowerShell komut dosyası başlatıldı ve her sistem önyüklemesinde yükleyicinin çalışmasını sağladı.
Ağustos ayı başlarında, bu iş akışı bir Savunucu GitHub’da halka açık olan modül, PowerRun[.]exe Ve bir RemoveSecHealthApp[.]ps1 Kapsamlı hariç tutma yolları (AppData, LocalAppData, masaüstü, startmenu ve daha fazlası) eklemeden önce savunma hizmetlerini sonlandırmak için komut dosyası Add-MpPreference.
Yükleyicinin kabuk kodu bileşeni, kod -cave tabanlı enjeksiyon için yükleme yöntemini, 32 – Bit, 64 – Bit, .NET ve Java yüklerini destekleyen meşru işlemlere kullanır.
Benzersiz Shellcode başlatma rutinleri, yükleyicinin amacını daha da gizlerken, özel bir sertifika imzalama özelliği hem saplama hem de modülleri işaret ederek itibar tabanlı sistemlerle algılamayı zorlaştırır.
Komut dosyasına dayalı kalıcılık, enjeksiyon teknikleri ve otomatik sertifika imzalama kombinasyonu, Maas tekliflerinde önemli bir ilerlemeyi işaret eder, orta seviye siber suçlular için giriş bariyerini düşürür ve işletmeler ve geliştiriciler arasında saldırı hacimlerini yükseltir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
