Ağustos 2025’in başlarında, Türkiye’deki siber güvenlik ekipleri, her kamusal kum havuzu, antivirüs çözümü ve hatta kurumsal EDR/XDR platformlarını geçen yeni, son derece kaçınılmaz Java tabanlı bir yükleyici gözlemledi.
Bu tehdit – kodenated Çorba—Beriye gibi dosyalar aracılığıyla üç aşamalı bir yükleyiciyi dağıtan bir kimlik avı kampanyası olarak ortaya çıktı. TEKLIFALINACAKURUNLER.jar.
Hedeflenen Spearphishing aracılığıyla konuşlandırılan başlangıç .JAR dosyası, kurbanın ortamının Türkçe’de pencereleri çalıştırdığını ve Türkiye’de bulunan gerçek yükünü yalnızca gerçek yükünü açar.
Onaylandıktan sonra, TOR’u indirir, kalıcı görevleri planlar ve TOR ağı üzerinde gizli bir C2 kanalı oluşturur.
Malwation araştırmacıları, bu kampanyanın, tamamen bellekte ardışık yükleri şifresini çözmek ve yüklemek için özel sınıf yükleyicileri kullandığını, statik ve dinamik analiz motorlarını engellediğini belirtti.
İlk aşamanın gizleme katmanları soyulduktan sonra, küçük bir java sınıfı (Loader7) AES – ECB, gömülü bir kaynağın d6RuwzOkGZM12DXi.
.webp)
Basit bir dize olarak sabitlenen şifre çözme anahtarı, SHA-512 ile genişletilir ve AES anahtarını türetmek için kesilir. Şifre çözüldükten sonra, Stage2 yükü stage2.jarkendisi Matryoshka tarzı bir RC4 – şifreli “saplama” kaynağı içerir.
İkinci aşamayı takiben, şifre çözülmüş saplama sınıfı bir gelenek kullanıyor findClass Sınıfları doğrudan RC4 – dehplipted bayt dizilerinden tanımlamak için geçersiz kılma, bu da disk göstergelerini etkili bir şekilde yan yana koyun.
.
Canlı olaylarda, Soupdealer, devam etmeden önce hiçbir güvenlik ürününün aktif olmadığını doğrulayarak ana bilgisayar tabanlı antivirüs kontrollerini atladı. Daha sonra, zaten mevcut değilse Tor’u indirir ve çalıştırır, check.torproject.org Yerel bir proxy üzerinden.
.webp)
Son olarak, şifreli kimlik doğrulamalı önceden tanımlanmış bağlantı noktalarında soğan çizgili bir C2 bağlantısı kurarak Adwind Backdoor modülünü başlatır.
Kalıcılık ve tespit kaçışı
SoupDealer’ın kalıcılığı hem Windows görev zamanlayıcısına hem de iyi huylu isimler altında maskelenen kayıt defteri değişikliklerine bağlıdır.
İdari ayrıcalıklar kazandıktan sonra, randomize bir adla planlanmış bir görev oluşturur ve Java yükleyicisini her gün başlangıç gecikmesi ile çağırır.
.webp)
Eşzamanlı olarak, HKCU\Software\Microsoft\Windows\CurrentVersion\Run Regedit formatlı bir kullanma .reg senaryo.
Python Decryption Script for d6RuwzOkGZM12DXi
import hashlib
from Crypto.Cipher import AES
KEY = "875758066416"
key = hashlib.sha512(KEY.encode("utf-8")).digest()[:16]
with open("d6RuwzOkGZM12DXi", "rb") as f:
ciphertext = f.read()
cipher = AES.new(key, AES.MODE_ECB)
plaintext = cipher.decrypt(ciphertext)
with open("stage2.jar", "wb") as f:
f.write(plaintext)Sezgisiz tespitten kaçınmak için, her aşama, yürütülmeden önce tüm gerekli olmayan kodu kaldırarak önemsiz işlemleri ve dize şifrelemesini içerir.
Dinamik ambalajlama yaklaşımı, bellekte görünür kodun statik imzalara benzememesini sağlar ve geleneksel AV motorlarını ve kum havuzu dedektörlerini kör haline getirir.
Çok aşamalı şifre çözme, memur sınıfı yükleme ve koşullu yürütme kontrollerini harmanlayarak SoupDealer, gerçek dünya ortamlarında gelişen yeni nesil gizli kötü amaçlı yazılımları örneklendirir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın