Siber güvenlik manzarası, Warmcookie Backdoor kötü amaçlı yazılımlarının arkasındaki tehdit aktörleri, yeteneklerini önemli ölçüde artırdılar, yeni özellikler getirerek ve kolluk kesintilerine rağmen aktif gelişimi sürdürdü.
En son Warmcookie varyantları, tehdit aktörlerinin operasyonel araç setlerini genişletme taahhüdünü göstermektedir. Dört yeni komuta işleyicisi, 2024 yazından bu yana kötü amaçlı yazılım mimarisine entegre edildi ve operatörlere çok yönlü yürütme yetenekleri sağladı.
Bu eklemeler, PE dosyası yürütme, DLL yürütme, PowerShell komut dosyası yürütme ve başlangıç dışa aktarma işlevselliği ile DLL yürütme içerir.
Elastik güvenlik laboratuvarlarındaki güvenlik araştırmacıları, bu kalıcı tehdide ilişkin önemli güncellemeleri belgelediler ve tespit önlemlerini uyarlamaya ve kaçmaya devam eden sofistike bir operasyonu ortaya çıkardılar.
Uygulama stratejisi, bu işleyiciler dosya türü parametrelerine dayalı olarak yürütme yöntemlerini uyarlayan birleşik bir işlev mimarisinden yararlandığından taktik sofistike olduğunu ortaya koymaktadır.
Kötü amaçlı yazılım geçici dizinler oluşturur, geçici dosyalara yükler yazar ve bunları Rundll32.exe veya powerShell.exe gibi sistem yardımcı programlarını kullanarak yürütür. Bu yaklaşım, operasyonel gizliliği korurken uyumluluğu en üst düzeye çıkarır.
Son yapıların analizi, DLL ve EXE yürütme işlevselliğinin mevcut dağıtımlarda baskın olduğunu gösterirken, PowerShell komut dosyası yetenekleri daha özel varyantlarda görünür.
Bu seçici dağılım, operatörlerin, olgun bir operasyonel yapıyı gösteren belirli kampanya gereksinimleri için yapıları özelleştirdiğini göstermektedir.
Warmcookie kötü amaçlı yazılım
Warmcookie geliştiricileri, “String Bank” sistemi olarak adlandırılan sofistike bir savunma kaçırma mekanizması uyguladılar.
Bu yenilik, statik sert kodlanmış yolları, meşru şirket isimlerinin küratörlü bir listesinden dinamik seçim ile değiştirerek kötü amaçlı yazılımların görünüşte güvenilir dizinlerde ve planlanmış görevlerde varlık oluşturmasına izin veriyor.
Dize bankası, iş derecelendirme web sitelerinde bulunan Real BT ve yazılım şirketi listelerinden, kötü amaçlı yazılımların kalıcılık mekanizmalarına özgünlüğü ödünç veriyor.
GettickCount’u randomizasyon tohumu olarak kullanan kötü amaçlı yazılım, çalışma zamanında şirket adlarını seçer, klasör yolları ve meşru kurumsal yazılım kurulumlarıyla sorunsuz bir şekilde karışan planlanmış görev adlarını oluşturur.
Bu yaklaşım, C: \ ProgramData \ rtlupd \ rtlupd.dll gibi statik konumlara dayanan önceki sürümlerden önemli bir evrimi temsil eder.
Mevcut uygulamaların dinamik doğası, tespit çabalarını karmaşıklaştırır ve geliştiricilerin modern güvenlik analiz tekniklerini anlamalarını gösterir.
Kampanya Kimliği alanlarının tanıtımı, Warmcookie’nin operasyonel yapısı hakkında benzeri görülmemiş bir fikir vermektedir.
Bu tanımlayıcılar, operatörlerin enfeksiyon kaynaklarını ve dağıtım yöntemlerini izlemelerine yardımcı olan işaretçiler olarak işlev görür ve “trafik2”, “Bing”, “AWS”, “LOD2LOD” ve “PrivateLll” gibi kampanya etiketleri gibi örneklerle birlikte.
Araştırma analizi, gömülü RC4 şifreleme anahtarlarının operatör tanımlayıcıları olarak hizmet edebileceğini, farklı gruplar farklı komut işleyicileri ve işlevsellik setleri içeren özelleştirilmiş yapılar alabileceğini düşündürmektedir.
Bu dağıtım modeli, hizmet olarak kötü amaçlı yazılım yapısını veya koordineli çoklu operatör dağıtım stratejisini gösterir.
RC4 anahtarları ve kampanya temaları arasındaki korelasyon, genişletilmiş zaman dilimlerini kapsayan operasyonel kalıpları ortaya koymaktadır.
Bazı yapılar bulut hizmeti referansları gibi tutarlı tematik öğeler gösterirken, diğerleri belirli hedefleme metodolojilerine veya yük dağıtım mekanizmalarına odaklanır.
Bozulmaya rağmen altyapı esnekliği
Europol’un Mayıs 2025’teki Endgame Operasyonu’na rağmen, Warmcookie altyapısı stratejik sertifika yeniden kullanımı ve sunucu yeniden yapılandırması yoluyla aktif olmaya devam ediyor.
Elastik Güvenlik Laboratuarları, Kasım 2024’te süresi dolmuş olsa bile, yeni komut ve kontrol sunucularında görünmeye devam eden varsayılan bir SSL sertifikası belirledi.
Avustralya’da “Internet Widgits Pty Ltd” e verilen sertifika, güvenlik araştırmacıları için izleme göstergeleri olarak hizmet veren belirli SHA1 ve SHA256 parmak izlerine sahiptir.
Birden fazla altyapı dağıtımında kullanımı, operatörlerin güvenlik en iyi uygulamalarına göre operasyonel sürekliliğe öncelik verdiğini ve potansiyel olarak kaçınma yeteneklerine olan güveni gösterdiğini göstermektedir.
Not Yukarıdaki “Sonrası” tarihi bu sertifikanın süresi dolduğunu gösterir. Ancak, bu süresi dolmuş sertifika kullanılarak yeni (ve yeniden kullanılan) altyapı başlatılmaya devam etmektedir.
Yeni altyapı dağıtımları, başka bir taktik evrimi temsil eden sayısal IP adreslerinden ziyade alan adlarını giderek daha fazla kullanıyor.
Alana dayalı altyapıya doğru yapılan bu kayma, meşru trafik modelleriyle harmanlama veya daha karmaşık yeniden yönlendirme şemalarını kolaylaştırma girişimlerini gösterebilir.
Gelecekteki sonuçlar
Warmcookie varyantlarında görülen sürekli gelişim döngüsü, tehdit aktörlerinin bu platforma uzun vadeli bağlılığını göstermektedir.
Kod optimizasyon iyileştirmeleri, parametre değişiklikleri (planlanan görev oluşturma için /p’den /u’ya değiştirme) ve çift muteks uygulaması hem işlevsellik hem de operasyonel güvenliğe dikkat eder.
Bu devam eden geliştirmeler, kötü amaçlı yazılımların çeşitli kötü niyetli ve spam kampanyalarındaki varlığı ile birleştiğinde, Warmcookie’nin kalıcı bir tehdit olarak kalacağını gösteriyor.
Seçici kullanım kalıpları, operatörlerin potansiyel büyük ölçekli dağıtımlar için yetenekler oluştururken düşük profilli işlemleri sürdürdüğünü göstermektedir.
Kuruluşlar, dinamik kaçırma tekniklerini ve altyapı esnekliğini açıklayan tespit stratejilerini uygulayarak, devam eden Warmcookie evrimine hazırlanmalıdır. Kötü amaçlı yazılımların sofistike kalkınma yörüngesi, sürekli izleme ve uyarlanabilir savunma önlemleri gerektiren önemli bir uzun vadeli siber güvenlik endişesi olarak konumlandırır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.