AresLoader ve AiDLocker fidye yazılımlarının arkasındaki grup olan DeadXInject, ManticoraLoader adında yeni bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) sunuyor.
8 Ağustos 2024’ten bu yana yeraltı forumlarında ve Telegram’da reklamı yapılan ManticoraLoader, Windows sistemlerini (sunucular dahil) hedef almak ve IP adresleri, kullanıcı adları ve yüklü antivirüs yazılımları gibi bilgileri çalmak için tasarlanmış C tabanlı bir araçtır.
Fidye yazılımları ve Citrix istismarlarının ötesine geçerek daha geniş siber suç operasyonları için çok yönlü bir araç sunuyor.
ManticoraLoader, IP adresi, kullanıcı adı, sistem dili, antivirüs yazılımı, UUID ve zaman damgaları gibi enfekte cihazlardan kapsamlı bilgileri toplayarak Windows Server da dahil olmak üzere Windows 7’den itibaren Windows sistemlerini enfekte edebilen bir kötü amaçlı yazılımdır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Veriler daha sonra merkezi bir kontrol paneline gönderilerek saldırganların kurbanların profillerini oluşturmasına, sonraki saldırıları özelleştirmesine ve tehlikeye atılmış sistemler üzerinde kontrol sahibi olmasına olanak tanırken, kötü amaçlı yazılımın geniş uyumluluğu ve veri toplama yetenekleri onu karmaşık siber saldırılar için güçlü bir araç haline getirir.
Tehlikeye maruz kalmış sistemlere kalıcı erişim sağlamak için tasarlanmıştır ve dosyaları otomatik başlatma konumlarına yerleştirerek sistem başlatıldığında otomatik olarak çalışmasını sağlar.
Modüler yapısı, çeşitli kötü amaçlı amaçlar için kolayca uyarlanabilmesini sağlar. Algılanmayı önlemek için yükleyici, kodunu gizlemek için gelişmiş teknikler kullanır ve aylık 500 ABD doları ücretle ve sıkı hüküm ve koşullarla kiralama hizmeti olarak mevcuttur.
ManticoraLoader tehdit aktörleri, kontrolü sürdürmek ve maruziyeti azaltmak için emanet veya doğrudan iletişimi kullanan kısıtlı bir istemci modeli uyguladı.
Kleenscan’da sıfır tespit ve 360 Total Security sanal alanını aşma becerisiyle kanıtlanan yükleyicinin kaçınma teknikleri, yükleyicinin etkinliğini garanti altına almayı ve tespit riskini en aza indirmeyi amaçlayan gelişmiş karartma ve tespit önleme yeteneklerini akla getiriyor.
VirusTotal bulguları, ManticoraLoader’ın ortaya çıkmasına rağmen AresLoader’ın yaygın bir tehdit olmaya devam ettiğini gösteriyor. Bu da AresLoader’ın güvenlik önlemlerini aşma ve kötü amaçlı yükler yürütme gibi yeteneklerinin onu tehdit aktörleri için değerli bir araç haline getirdiğini gösteriyor.
Cyble’a göre AresLoader’ın varlığını sürdürmesi, bu ve diğer karmaşık kötü amaçlı yazılım tehditleriyle mücadele için güçlü güvenlik önlemlerine olan ihtiyacın devam ettiğini gösteriyor.
Başarılı AresLoader MaaS’ıyla tanınan TA DarkBLUP, yakın zamanda ManticoraLoader adında yeni bir yükleyici duyurdu.
Bu lansmanın ardındaki amaç daha fazla para kazanmak gibi görünse de TA’nın uzun süredir hareketsiz kalmasının nedenleri henüz netlik kazanmadı.
İki yükleyici arasındaki benzerliklere rağmen TA, ManticoraLoader’ın gelişmiş ve iyileştirilmiş özellikler sunduğunu iddia ediyor. Bu durum, AresLoader kampanyalarında gözlemlenen sorunlara benzer şekilde, hırsız ve botnet enfeksiyonlarını tespit etmede olası zorluklar konusunda endişelere yol açıyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!