olarak bilinen yeni ortaya çıkan kötü amaçlı yazılım SSLYükleme Siber güvenlik firması Intezer’in bulgularına göre, PhantomLoader adı verilen daha önce belgelenmemiş bir yükleyici aracılığıyla teslim ediliyor.
Güvenlik araştırmacıları Nicole Fishbein ve Ryan Robinson, bu hafta yayınlanan bir raporda, “Yükleyici, dosyaya ikili yama uygulayarak ve tespitten kaçınmak için kendi kendini değiştiren teknikler kullanılarak, genellikle EDR veya AV ürünleri olan meşru bir DLL’ye eklenir.” dedi.
Farklı dağıtım yöntemleri nedeniyle muhtemelen Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modeli kapsamında diğer tehdit aktörlerine sunulan SSLoad, kimlik avı e-postaları yoluyla sistemlere sızıyor, keşif gerçekleştiriyor ve ek kötü amaçlı yazılım türlerini kurbanlara gönderiyor.
Palo Alto Networks Unit 42 ve Securonix’in önceki raporları, genellikle istismar sonrası amaçlar için kullanılan meşru bir düşman simülasyon yazılımı olan Cobalt Strike’ı dağıtmak için SSLoad’ın kullanıldığını ortaya çıkardı. Kötü amaçlı yazılım Nisan 2024’ten bu yana tespit edildi.
Saldırı zincirleri genellikle, başlatıldığında enfeksiyon dizisini başlatan bir MSI yükleyicisinin kullanımını içerir. Özellikle, 360 Total Security (“MenuEx.dll”) adı verilen bir antivirüs yazılımı için DLL modülü gibi görünen, C/C++ ile yazılmış 32 bitlik bir DLL olan PhantomLoader’ın yürütülmesine yol açar.
İlk aşamadaki kötü amaçlı yazılım, Rust tabanlı bir indirici DLL olan yükü çıkarmak ve çalıştırmak için tasarlandı ve bu da, ana SSLoad yükünü uzak bir sunucudan alıyor; bu yükün ayrıntıları, sunucuların kullandığı aktör kontrollü bir Telegram kanalında kodlanıyor. ölü bırakma çözümleyici olarak.
Yine Rust’ta yazılan son veri, ele geçirilen sistemin parmak izini alıyor ve bilgiyi bir JSON dizisi biçiminde komut ve kontrol (C2) sunucusuna gönderiyor, ardından sunucu daha fazla kötü amaçlı yazılım indirme komutuyla yanıt veriyor.
Araştırmacılar, “SSLoad’ın keşif toplama, tespitten kaçma girişiminde bulunma ve çeşitli dağıtım yöntemleri ve teknikleri yoluyla daha fazla yük dağıtma yeteneğini gösterdiğini” belirterek, dinamik dize şifre çözme ve hata ayıklama önleme önlemlerinin “karmaşıklığını ve uyarlanabilirliğini vurguladığını” belirtti.
Bu gelişme, kimlik avı kampanyalarının, sunucudan alınan komutların kalıcı olarak çalıştırılmasını ve yürütülmesini sağlamak için JScript RAT ve Remcos RAT gibi uzaktan erişim truva atlarını yaydığı gözlemlendiğinde ortaya çıktı.