Siber güvenlik araştırmacıları, Highack Loader adlı bir kötü amaçlı yazılım yükleyicisinin, tespitten kaçınmak ve tehlikeye atılan sistemlerde kalıcılık oluşturmak için yeni özellikleri uygulayan güncellenmiş bir sürümünü keşfettiler.
Zscaler tehdit araştırmacısı Muhammed Irfan Va, “Highack Loader, işlev çağrılarının kökenini gizlemek için çiğneme yığın sahtekarlığı uygulayan yeni bir modül yayınladı.” Dedi. “Hijack Loader, kötü amaçlı yazılım analiz ortamlarını ve kum havuzlarını tespit etmek için anti-VM kontrolleri gerçekleştirmek için yeni bir modül ekledi.”
İlk olarak 2023’te keşfedilen Hijack Loader, Information Stealer kötü amaçlı yazılım gibi ikinci aşamalı yükler sunma olanağı sunar. Ayrıca güvenlik yazılımını atlamak ve kötü amaçlı kod enjekte etmek için çeşitli modüllerle birlikte gelir. Higack Loader, Doiloader, GhostPulse, Idat Loader ve ShadowLadder adları altında daha geniş siber güvenlik topluluğu tarafından izlenir.
Ekim 2024’te Harfanglab ve Elastik Güvenlik Laboratuarları, meşru kod imzalama sertifikalarını ve kötü amaçlı yazılımları dağıtmak için meşhur ClickFix stratejisini kullanan kaçırma yükleyici kampanyalarını detaylandırdı.
Yükleyicinin en son yinelemesi, selefine göre bir dizi iyileştirme ile birlikte gelir, en dikkat çekici olanı, API ve sistem çağrılarının kökeni gizlemek için bir kaçaklama taktiği olarak çağrı yığını sahte eklenmesidir, bu da yakın zamanda Coffeeloader olarak bilinen başka bir malware yükleyici tarafından da benimsenmiştir.
Zscaler, “Bu teknik, yığından geçmek ve gerçek yığın çerçevelerini fabrikasyonlu olanlarla değiştirerek yığındaki kötü niyetli bir çağrının varlığını gizlemek için bir EBP işaretçileri zinciri kullanıyor.” Dedi.
Önceki sürümlerde olduğu gibi, kaçırma yükleyici, işlem enjeksiyonu için 64 bit doğrudan syscall’ları yürütmek için cennetin kapı tekniğinden yararlanır. Diğer değişiklikler arasında, avast antivirüsünün bir bileşeni olan “AVastsvc.exe” yi beş saniye geciktirmek için blok listelenen süreçler listesine bir revizyon yer alıyor.
Kötü amaçlı yazılım ayrıca, sanal makineleri tespit etmek için antivm ve planlanan görevler yoluyla kalıcılığı ayarlamak için modtask olmak üzere iki yeni modül içerir.
Bulgular, kaçırma yükleyicisinin analizi ve tespiti karmaşıklaştırmak amacıyla operatörleri tarafından aktif olarak korunmaya devam ettiğini göstermektedir.
Shelby kötü amaçlı yazılım, komut ve kontrol için GitHub’ı kullanır
Geliştirme, Elastik Güvenlik Laboratuarları, komut ve kontrol (C2) için GitHub kullanan Shelby olarak adlandırılan yeni bir kötü amaçlı yazılım ailesi detaylandırılmış olarak geliyor. Etkinlik REF8685 olarak izleniyor.
Saldırı zinciri, DLL yan yükleme yoluyla ShelbyLoader (“httpservice.dll”) olarak izlenen bir DLL yükleyici yürütmek için kullanılan bir .NET ikili içeren bir zip arşivi dağıtmak için bir kimlik avı e-postasının kullanılmasını içerir. E-posta mesajları, hedeflenen kuruluştan gönderilen yüksek hedefli bir kimlik avı e-postası aracılığıyla Irak merkezli bir telekomünikasyon firmasına teslim edildi.
Yükleyici daha sonra, saldırganların kontrollü deposundaki “Lisans.txt” adlı bir dosyadan 48 bayt değeri çıkarmak için C2 için GitHub ile iletişimi başlatır. Değer daha sonra bir AES şifre çözme anahtarı oluşturmak ve ana arka kapı yükünü (“httpapi.dll”) deşifre etmek ve diskte algılanabilir artefaktlar bırakmadan belleğe yüklemek için kullanılır.
Elastik, “ShelbyLoader, sanallaştırılmış veya izlenen ortamları tanımlamak için sanal alan algılama tekniklerini kullanıyor.” Dedi. “Yürütüldükten sonra, sonuçları C2’ye geri gönderir. Bu sonuçlar günlük dosyaları olarak paketlenir ve her bir algılama yönteminin bir sanal alan ortamını başarıyla tanımlayıp tanımlamadığını detaylandırır.”
Shelbyc2 Backdoor, kendi adına, “komut.txt” adlı başka bir dosyada listelenen komutları bir GitHub deposundan/bir GitHub deposundan/yüklemek, bir .NET ikili yükünü yansıtıcı yüklemek ve PowerShell komutlarını çalıştırmak için ayrıştırır. Burada dikkate değer olan şey, C2 iletişimi, kişisel erişim belirtecinden (PAT) kullanarak özel depoya taahhütler aracılığıyla gerçekleşir.
Şirket, “Kötü amaçlı yazılımın kurulma şekli, PAT (kişisel erişim belirteci) olan herkesin teorik olarak saldırgan tarafından gönderilen komutları getirebileceği ve herhangi bir kurban makinesinden erişim komutu çıktılarını getirebileceği anlamına gelir.” Dedi. Diyerek şöyle devam etti: “Bunun nedeni, Pat tokeninin ikili içine gömülmesi ve onu alan herkes tarafından kullanılmasıdır.”
Emmenhtal, 7-ZIP dosyaları aracılığıyla dumanlı yayar
Ödeme temalı yemleri taşıyan kimlik avı e-postaları, Smokeloader olarak bilinen başka bir kötü amaçlı yazılımı dağıtmak için bir kanal görevi gören Emmenhtal Loader (diğer adıyla Peaklight) adlı bir kötü amaçlı yazılım ailesi (aka peaklight) teslim ettiği gözlemlenmiştir.
GDATA, “Bu dumanlı örnekte gözlenen önemli bir teknik, gizleme ve paketleme için kullanılan ticari bir .NET koruma aracı olan .NET reaktörünün kullanılmasıdır.” Dedi.
“Smokeloader tarihsel olarak Themida, Enigma Koruyucusu ve özel krykorlar gibi paketleyicilerden yararlanırken, .NET reaktörünün kullanımı, güçlü anti-analiz mekanizmaları nedeniyle diğer kötü amaçlı ailelerde, özellikle stealers ve yükleyicilerde görülen eğilimlerle hizalanır.”