Siber Muhbir

CrowdStrike araştırmacıları Donato Onofri ve Emanuele Calvelli çarşamba günü yaptıkları bir analizde, "Kötü amaçlı yazılım geliştiricisi, bir boruya yazan ana işlem tarafından etkinleştirilen ek bir tetikleyici ile birlikte standart bir işlem boşaltma tekniği kullandı" dedi. "Bu yeni yaklaşım, savunmadan kaçınmayı daha gizli hale getirme potansiyeline sahip."

HijackLoader ilk olarak Eylül 2023'te Zscaler ThreatLabz tarafından DanaBot, SystemBC ve RedLine Stealer'ı teslim etmek için bir kanal olarak kullanıldığı belgelendi. Ayrıca, IDAT Loader olarak bilinen başka bir yükleyici ile yüksek derecede benzerlik paylaştığı da bilinmektedir.

Her iki yükleyicinin de aynı siber suç grubu tarafından işletildiği değerlendiriliyor. Aradan geçen aylarda HijackLoader, ClearFake aracılığıyla yayıldı ve TA544 (diğer adıyla Narwhal Spider, Gold Essex ve Ursnif Gang) tarafından kimlik avı mesajları yoluyla Remcos RAT ve SystemBC'yi iletmek için kullanıldı.

"Yükleyicileri koyun postuna bürünmüş kurtlar gibi düşünün. Amaçları, daha karmaşık tehditleri ve araçları gizlice girmek, tanıtmak ve yürütmektir, "dedi CrowdStrike'ta tehdit araştırma ve raporlama direktörü Liviu Arsene, paylaşılan bir açıklamada.

"HijackLoader'ın (diğer adıyla IDAT Loader) bu son varyantı, yeni teknikler ekleyerek ve deneyerek sinsi oyununu hızlandırıyor. Bu, kılık değiştirmesini geliştirmeye, onu daha gizli, daha karmaşık ve analiz edilmesi daha zor hale getirmeye benzer. Özünde, dijital kamuflajlarını geliştiriyorlar."

Çok aşamalı saldırı zincirinin başlangıç noktası, etkin bir internet bağlantısı olup olmadığını kontrol eden ve uzak bir sunucudan ikinci aşama yapılandırmasını indirmeye devam eden bir yürütülebilir dosyadır ("streaming_client.exe").

Yürütülebilir dosya daha sonra, analizin karmaşıklığını ve savunmadan kaçınma yeteneklerini artıran işlem ikizi ve işlem içi boşaltma tekniklerinin bir kombinasyonu aracılığıyla HijackLoader yükünü başlatmaktan sorumlu kabuk kodunu etkinleştirmek için yapılandırmada belirtilen meşru bir dinamik bağlantı kitaplığını (DLL) yükler.

Araştırmacılar, "HijackLoader ikinci aşama, konumdan bağımsız kabuk kodu daha sonra Heaven's Gate'i kullanarak kullanıcı modu kancalarını atlamak için bazı kaçınma faaliyetleri gerçekleştiriyor ve sonraki kabuk kodunu cmd.exe enjekte ediyor" dedi.

"Üçüncü aşama kabuk kodunun enjeksiyonu, yeni ortaya çıkan cmd.exe çocuk sürecine enjekte edilen oyulmuş bir mshtml.dll ile sonuçlanan bir işlem boşluğu varyasyonu yoluyla gerçekleştirilir."

Heaven's Gate, kötü amaçlı yazılımların Windows'ta 32 bit işlemlerde 64 bit kod çağırarak ve kullanıcı modu kancalarını etkili bir şekilde atlayarak uç nokta güvenlik ürünlerinden kaçmasına izin veren gizli bir numarayı ifade eder.

HijackLoader saldırı dizilerinde gözlemlenen en önemli kaçınma tekniklerinden biri, daha önce Osiris bankacılık truva atı gibi kötü amaçlı yazılımlarda gözlemlenen, işlemli oyuk adı verilen bir işlem enjeksiyon mekanizmasının kullanılmasıdır.

Arsene, "Yükleyiciler, düşmanların ilk aşamalarda varlıklarını yakmadan daha karmaşık kötü amaçlı yazılımlar ve araçlar tanıtması ve yürütmesi için gizli fırlatma platformları olarak hareket etmeyi amaçlıyor" dedi.

"HijackLoader (diğer adıyla IDAT Loader) için yeni savunma kaçınma yeteneklerine yatırım yapmak, potansiyel olarak onu daha gizli hale getirme ve geleneksel güvenlik çözümlerinin radarının altında uçma girişimidir. Yeni teknikler, mevcut savunmadan kaçınma yeteneklerinin hem kasıtlı hem de deneysel bir evrimine işaret ederken, aynı zamanda tehdit araştırmacıları için analizin karmaşıklığını da artırıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.