Son aylarda, Rusya ve komşu bölgelerdeki hükümeti ve kritik altyapı örgütlerini hedefleyen süvari kurtadam olarak adlandırılan sofistike bir kampanya ortaya çıktı.
Rakipler bu saldırıları başlattılar.
Bu e -postalar, Foalshell Ters Kabuğu ve Stallionrat olarak bilinen daha güçlü bir bileşen de dahil olmak üzere bir dizi özel araç kullanan kötü niyetli RAR arşivleri içerir.
Modüler tasarımı ve telgraf tabanlı komut ve kontrol (C2) altyapısı ile Stallionrat hızla aktörün cephaneliğinde birincil araç haline geldi.
Bi.zone analistleri, Mayıs ve Ağustos 2025 arasında bu faaliyet kümesini belirleyerek madencilik, enerji ve üretim sektörlerine genişlemesini not ettiler.
Mağdurlar, genellikle resmi web sitelerinden hasat edilen gerçek e-posta adreslerine atıfta bulunarak, otantik görünümlü logolar ve editoryal stillerle ekleme eklerine çekilir.
.webp)
Bir kez yürütüldükten sonra, bu ekler Stallionrat için hem ters kabuğu hem de PowerShell tabanlı bir yükleyiciyi düşürür ve düşmanın derhal erişim kazanmasını sağlar ve tehlikeye atılan konakçılar üzerinde uzun vadeli kontrolü sürdürür.
Bu kampanyanın etkisi önemli olmuştur: Ağın içinde bir kez, tehdit aktörleri hassas dosyaları ortaya çıkarır, lateral hareket için SOCKS5 proxy araçlarını ve iç ortamları haritalamak için kaldıraçlı alan numaralandırma komutları.
Triton sıçanını rutin yazışmalar olarak maskelendirerek, küme çevre savunmalarından kaçarken yüksek kullanıcı yürütme oranlarına ulaşır.
Uzlaşmış makineler telgraf sohbetlerine kayıtlıdır, operatörlerin komutlar vermesini, ek yükleri yüklemesini ve verileri gerçek zamanlı olarak çıkarmasını sağlar.
Enfeksiyon mekanizması ve yükleyici iş akışı
Stallionrat’ın enfeksiyon mekanizması, C ++ ‘da uygulanan çift aşamalı bir yükleyiciye dayanır. Yürütme üzerine, başlatıcı PowerShell’i baz 64 kodlu bir komutla çağırır.
Bu komut, ana yükü tamamen bellekte çözer ve yürütür, disk tabanlı algılamaları atlayarak:
powershell -ExecutionPolicy Bypass -WindowStyle Hidden -EncodedCommand WwBWAHIAYQBiAGkAbABpAHQA....webp)
Kod çözüldükten sonra Stallionrat, 100 ila 10 000 arasında rastgele bir cihaz oluşturarak ve ana bilgisayarın bilgisayar adını alarak başlar. $env:COMPUTERNAME.
Daha sonra sonsuz bir döngüye girer ve getUpdates Yeni talimatlar almak için Telegram Bot API’sına karşı işlev. Yanıtlar ve hatalar, operatörün gibi komutlar vermesini sağlayan belirlenmiş bir sohbete geri gönderilir. /go [DeviceID] [command] Rasgele kod yürütmek için Invoke-Expression.
Bu yükleyici mimarisi sadece ana ikili diske yazmaktan kaçınarak geleneksel antivirüs çözümlerinden kaçınmakla kalmaz, aynı zamanda PowerShell’in kötü niyetli aktiviteyi maskeleme meşruiyetinden de yararlanır.
Şifrelenmiş HTTPS trafik normal uygulama akışlarıyla karışımından dolayı Telegram’ın bir taşıma tabakası olarak kullanılması, tespiti daha da karmaşıklaştırır.
Özel C ++ ve PowerShell bileşenlerini zincirleyerek, Stallionrat hem gizli hem de esneklik elde ederek iyi tanımlanmış ortamlar için bile zorlu bir tehdit haline getirir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
