Siber güvenlik araştırmacıları, adlı yeni bir kaçamak amaçlı kötü amaçlı yazılım yükleyicisini ortaya çıkardı. Kalamar Yükleyici Bu, Çinli kuruluşları hedef alan kimlik avı kampanyaları yoluyla yayılıyor.
Kötü amaçlı yazılımı ilk kez Nisan 2024’ün sonlarında gözlemleyen AT&T LevelBlue Labs, kötü amaçlı yazılımın statik ve dinamik analizi engellemek ve sonuçta tespitten kaçınmak için tasarlanmış özellikler içerdiğini söyledi.
Saldırı zincirleri, Microsoft Word belgeleri gibi görünen eklerle birlikte gelen kimlik avı e-postalarından yararlanır, ancak gerçekte kötü amaçlı yazılımın yürütülmesinin önünü açan ikili dosyalardır ve bunlar daha sonra uzak bir sunucudan ikinci aşama kabuk kodu yüklerini almak için kullanılır. Kobalt Saldırısı dahil.
Güvenlik araştırmacısı Fernando Dominguez, “Bu yükleyiciler, analizleri engellerken aynı zamanda tespit edilmemelerine yardımcı olan ağır kaçırma ve tuzak mekanizmalarına sahiptir” dedi. “Teslim edilen kabuk kodu da aynı yükleyici işleminde yükleniyor, bu da büyük olasılıkla yükün diske yazılmasını ve dolayısıyla tespit edilme riskini ortadan kaldırıyor.”
SquidLoader tarafından benimsenen savunmadan kaçınma tekniklerinden bazıları, şifrelenmiş kod bölümlerinin kullanımını, kullanılmayan anlamsız kodu, Kontrol Akış Grafiği (CFG) gizlemeyi, hata ayıklayıcıyı algılamayı ve Windows NT API’lerini çağırmak yerine doğrudan sistem çağrıları gerçekleştirmeyi kapsar.
Yükleyici kötü amaçlı yazılımlar, antivirüs savunmalarını ve diğer güvenlik önlemlerini atlarken, güvenliği ihlal edilmiş ana bilgisayarlara ek yükler sağlamak ve başlatmak isteyen tehdit aktörleri için suç yeraltında popüler bir ürün haline geldi.
Geçtiğimiz yıl, Aon’da yaşanan Stroz Friedberg olayı, Taurus bilgi hırsızının yanı sıra daha fazla kötü amaçlı yazılım çalıştırma ve Windows Kayıt Defteri değişikliklerini kullanarak kalıcılık oluşturma ve veri toplama yetenekleri olan bir truva atı olan AgentVX’i dağıttığı gözlemlenen Taurus Loader olarak bilinen bir yükleyicinin ayrıntılarını açıkladı.
Bu gelişme, bir kötü amaçlı yazılım yükleyicisinin ve PikaBot olarak adlandırılan arka kapının, Şubat 2023’te ortaya çıkışından bu yana geliştiricileri tarafından aktif olarak geliştirilmeye devam ettiğinin vurgulandığı yeni ve derinlemesine bir analizle ortaya çıktı.
Sekoia, “Kötü amaçlı yazılım, tespitten kaçınmak ve analizleri güçlendirmek için sistem kontrolleri, dolaylı sistem çağrıları, sonraki aşamanın ve dizelerin şifrelenmesi ve dinamik API çözümlemesi dahil olmak üzere gelişmiş anti-analiz teknikleri kullanıyor.” dedi. “Kötü amaçlı yazılıma yapılan son güncellemeler, yeteneklerini daha da geliştirerek tespit edilmesini ve azaltılmasını daha da zorlaştırdı.”
Ayrıca BitSight’tan elde edilen, Latrodectus adı verilen başka bir yükleyici kötü amaçlı yazılımla ilgili altyapının, IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee ile ilişkili olanlar da dahil olmak üzere 100’den fazla botnet sunucusunu gören Endgame Operasyonu adlı bir kolluk kuvvetleri çabasının ardından çevrimdışı duruma geçtiği yönündeki bulguları takip ediyor. ve TrickBot parçalandı.
Siber güvenlik şirketi, 10 farklı kampanyaya yayılmış yaklaşık 5.000 farklı kurbanın gözlemlendiğini ve kurbanların çoğunluğunun ABD, İngiltere, Hollanda, Polonya, Fransa, Çekya, Japonya, Avustralya, Almanya ve Kanada’da bulunduğunu söyledi.