Sophos analistleri, Windows sistemlerine özel Redloader kötü amaçlı yazılımlarını dağıtmak için finansal olarak motive olmuş siber suç grubu Gold Blade tarafından kullanılan yeni bir enfeksiyon zinciri tanımladılar.
2018’den beri aktif olan ve ticari casusluk alanında uzmanlaşmış olan bu grup, kuruluşlara sızmak için yüksek hedefli kimlik avı e -postaları kullanılarak gözlenmiştir.
2024’ün sonlarından 2025’in başlarına yayılan son kampanyalarda Gold Blade, iş başvurusu sahibi veya müfredat vitae olarak kötü niyetli belgeleri gizleyerek insan kaynakları personeline odaklanmıştır.
Temmuz 2025’te gözlemlenen en son yineleme, daha önce görülen teknikleri daha önce bildirilmemiş bir şekilde birleştirerek, LNK dosyalarını uzaktan yürütme için kullanıyor ve komut ve kontrol (C2) iletişimini oluşturmak için yan yükleme.
Bu evrim, meşru araçları ve altyapıyı yeniden tasarlayarak grubun savunmaları atlamada uyarlanabilirliğini vurgulamaktadır.
Gold Blade kampanyalarında gelişen taktikler
Saldırı, üçüncü taraf iş siteleri aracılığıyla teslim edilen PDF formatında iyi hazırlanmış bir kapak mektubu ile başlar. PDF’nin içine gömülü, PDF belgesi olarak maskelenen bir LNK dosyası içeren bir fermuar arşivi indiren kötü niyetli bir bağlantıdır.
Açıldıktan sonra, LNK dosyası, saldırganlar tarafından kontrol edilen CloudFlare ile barındırılan bir alana bağlanmak için WebDAV’yi kullanan meşru bir Windows konsolu ana bilgisayar işlemi olan Conhost.exe’yi yürütür.
Bu kurulum uzaktan Adobe’den bir özgeçmiş dosyası olarak gizlenmiş Adobe’den adobe’den yeniden adlandırılmış bir yürütülebilir dosyayı barındırır.
Aynı dizinde, netutils.dll adlı kötü amaçlı bir DLL olan Redloader Stage 1 yükü bulunur.
İyi huylu yürütülebilir, bu DLL’yi uzaktan sideloed eder, enfeksiyon zincirini doğrudan kurbanın diskine kötü amaçlı dosyalar yazmadan başlatır ve böylece belirli uç nokta algılamalarından kaçınır.
Yüklendikten sonra, Redloader Aşama 1, ‘BrowserQe \ BrowserQe_ gibi mağdura özgü bir formatta adlandırılan, tehlikeye atılan sistemde planlanmış bir görev oluşturur.
Bu görev, başka bir saldırgan kontrollü alandan Redloader Aşama 2 için bağımsız bir yürütülebilir dosyayı indirir.
Bu aşama, uzaktan barındırılan DLL’leri içeren Eylül 2024’teki önceki gözlemlerin aksine, 2025’te daha önce bildirilen taktikleri anımsatan bağımsız bir yürütülebilir kullanılabilir.
Planlanan görev, kurbana özgü adlandırmaya rağmen, numuneler arasında tutarlı bir SHA256 karması taşıyan PCALUA.EXE ve Conhost.exe’yi kullanır.
Bu yürütülebilir dosyalar daha sonra C2 iletişimini kurar, ana bilgisayar bilgilerini iletir ve PowerShell komut dosyalarını Active Directory ortamını keşif etmek için yürütür ve veri açığa çıkma gibi daha fazla casusluk faaliyetlerini kolaylaştırır.
Gold Blade’in Adobe’den gelenler gibi meşru bir şekilde imzalanmış yürütülebilir ürünlere güvenmesi, üst üste yükleme, kara geçirme stratejilerinin altını çiziyor, kötü niyetli yükleri kalıcılığı korumak ve algılamayı önlemek için güvenilir süreçlerle harmanlıyor.
Bu Temmuz 2025 Zinciri, WebDAV tabanlı uzak DLL yürütmeyi, Eylül 2024’te, Mart 2025’te görülen Adobe dosyalarının yan yüklenmesi ile şimdiye kadar herkese açık olarak belgelenmemiş olan sofistike bir rekombinasyonu temsil ederek birleştiriyor.
Önerilen azaltma
Bu tehditlere karşı koymak için kuruluşlar, kullanıcı indirmeleri ve uygulama veri klasörleri gibi yüksek riskli dizinlerden LNK dosya yürütmesini engellemek için grup politika nesneleri aracılığıyla yazılım kısıtlama politikaları uygulamalıdır.
Rapora göre, Sophos, Adobe yürütülebilir ürünlerle kenar yükleme girişimlerini engellemek için REDADE_28K, şüpheli conhost.exe alt işlemlerini tanımlamak için Win-Det-Head-Head-Head-Conhost-Secection-Scection-Secection-Scections ve Redloater aşamasının statik tespiti için Troj/Agent-BKU da sunmaktadır.
Bilinen göstergelere erişimin gözden geçirilmesi ve kısıtlanması, potansiyel olarak kötü niyetli alanları araştırırken dikkatli olunmasına rağmen riskleri daha da azaltabilir.
Uzlaşma temel göstergeleri (IOCS)
| Gösterge | Tip | Bağlam |
|---|---|---|
| otomatikleştirme hrservices[.]işçi[.]dev | Alan adı | Gold Blade C2 Sunucusu |
| sessizlik[.]msftlivecloudsrv[.]işçi[.]dev | Alan adı | Gold Blade C2 Sunucusu |
| canlı[.]airemoteplant[.]işçi[.]dev | Alan adı | Gold Blade C2 Sunucusu |
| netutils.dll | Dosya adı | Redloader aşaması 1 Uzaktan dll sideloading yoluyla altın bıçağı tarafından dağıtıldı |
| D302836c7df9ce8ac68a06b53263e2c685971781a48ce56b3b5a579c5bba10cc | Sha256 karma | Redloader aşaması 1 Uzaktan dll sideloading yoluyla altın bıçağı tarafından dağıtıldı |
| F5203C7AC07087FD502D83141982F0A5E78F169CDC4AB9FC097CC0E2981D926 | Sha256 karma | Redloader aşaması 2 Gold Blade tarafından dağıtıldı |
| 2 | Sha1 karma | Redloader aşaması 2 Gold Blade tarafından dağıtıldı |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!