
Siber güvenlik manzarası, Gold Blade siber suçlu grubu saldırı metodolojilerini önemli ölçüde geliştirdi ve sofistike bir enfeksiyon zinciri oluşturmak için daha önce gözlemlenen teknikleri birleştirdi.
Temmuz 2025’te artan bu yeni kampanya, özel redloader kötü amaçlı yazılımlarını Windows sistemlerine dağıtmak için geri dönüştürülmüş bir WebDAV tekniği ile eşleştirilmiş kötü amaçlı LNK dosyalarından yararlanıyor.
Tehdit, grubun yeteneklerindeki bir artışla ilgili bir artışı temsil ederek, yerleşik tehdit aktörlerinin taktiklerini tespitten kaçınmak ve enfeksiyon başarı oranlarını en üst düzeye çıkarmak için taktiklerini nasıl uyarlamalarını gösteriyor.
Saldırı, tehdit aktörlerinin iyi hazırlanmış kapak mektubu PDF’lerini gerçekten.com gibi meşru üçüncü taraf iş siteleri aracılığıyla dağıttığı aldatıcı basit bir sosyal mühendislik yaklaşımı ile başlar.
Bu belgeler, karmaşık bir çok aşamalı enfeksiyon sürecini başlatan, kurban sistemlerine zip arşivlerini otomatik olarak indiren kötü niyetli bağlantılar içerir.
.webp)
Sofistike, ilk dağıtım mekanizmasında değil, geleneksel güvenlik önlemleri ile büyük ölçüde fark edilmeden kalırken, kalıcı erişim sağlamak için meşru sistem süreçlerini kötü amaçlı yüklerle birleştiren sonraki yürütme zincirinde yer almaktadır.
Sophos analistleri, bu yeni enfeksiyon zincirini, Gold Blade Group’un gelişen taktiklerini araştırırken tanımladılar ve bireysel bileşenler önceki kampanyalarda ayrı ayrı gözlemlenirken, kombinasyonlarının ilk sistem uzlaşmasına benzeri görülmemiş bir yaklaşımı temsil ettiğini belirtti.
Araştırmacılar, grubun Eylül 2024’te uzak DLL yürütme ve Mart 2025’te DLL kenar yükleme yöntemleri için daha önce WebDAV tekniklerini kullandığını gözlemlediler, ancak Temmuz 2025 kampanyası, bu tekniklerin ilk belgelenmiş örneğini birlikte düzenleniyor.
Uzak DLL Sideloading: Teknik Derin Dalış
Bu kampanyanın teknik olarak en sofistike yönü, Redloader dağıtımının temelini oluşturan uzak DLL kenar yükleme mekanizmasını içerir.
LNK dosyası yürütüldükten sonra, CloudFlare ile barındırılan etki alanı ile bir WebDAV bağlantısı kurmak için conhost.exe tetikler automatinghrservices[.]workers[.]dev
.
Kötü niyetli altyapı, Adobe’nin meşru adnotifikationManager.exe yürütülebilir dosyasının, sosyal mühendislik iddiasını korumak için bir özgeçmiş belgesi olarak maskelenen bir sürümüne ev sahipliği yapar.
Kritik teknik yenilik, meşru yürütülebilir dosyanın kötü niyetli otomatik olarak yüklediği uzaktan yükleme işleminde yatmaktadır. netutils.dll
aynı uzak dizinden dosya.
Bu yaklaşım, tipik güvenlik uyarılarını tetiklemeden kötü amaçlı kod yükleyen meşru bir imzalı yürütülebilir ürün oluşturur.
Redloader Aşama 1 daha sonra adlı planlanmış bir görev aracılığıyla kalıcılık oluşturur BrowserQE\BrowserQE_
kötü amaçlı yazılımların, farklı tehlikeye atılan sistemlerde tutarlı operasyonel imzaları korurken mağdura özgü tanımlayıcılar oluşturma yeteneğini gösterme.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin