Siber güvenlik araştırmacıları, tespit edilmekten kaçınmak ve ele geçirilmiş sistemlerde kalıcılık sağlamak için yeni özellikler içeren Hijack Loader adlı kötü amaçlı yazılım yükleyicisinin güncellenmiş bir sürümünü keşfetti.

Zscaler ThreatLabz araştırmacısı Muhammed Irfan V A, konuyla ilgili analizinde şunları belirtti:
“Hijack Loader, işlev çağrılarının (API ve sistem çağrıları gibi) kaynağını gizlemek için çağrı yığını sahteciliğini uygulayan yeni bir modül yayınladı. Ayrıca, kötü amaçlı yazılım analiz ortamlarını ve sanal alanları tespit etmek amacıyla anti-VM kontrolleri gerçekleştiren yeni bir modül eklendi.”

İlk olarak 2023 yılında keşfedilen Hijack Loader, bilgi çalan kötü amaçlı yazılımlar gibi ikinci aşama yükleri çalıştırma yeteneğine sahiptir. Ayrıca, güvenlik yazılımlarını atlatmak ve zararlı kod enjekte etmek için çeşitli modüller içerir. Daha geniş siber güvenlik topluluğunda DOILoader, GHOSTPULSE, IDAT Loader ve SHADOWLADDER adlarıyla da takip edilmektedir.

Ekim 2024’te, HarfangLab ve Elastic Security Labs, Hijack Loader kampanyalarını detaylandırarak kötü amaçlı yazılımın meşru kod imzalama sertifikalarından ve kötü şöhretli ClickFix stratejisinden yararlandığını ortaya koydu.

Yükleyicinin en son sürümü, önceki versiyonuna kıyasla önemli geliştirmeler içeriyor. En dikkat çekici değişiklik, API ve sistem çağrılarının kaynağını gizlemek için kullanılan çağrı yığını sahteciliğinin eklenmesi oldu. Benzer bir yöntemin kısa süre önce CoffeeLoader adlı başka bir kötü amaçlı yazılım yükleyicisi tarafından da kullanıldığı belirtildi.

Zscaler’e göre:
“Bu teknik, çağrı yığınında kötü amaçlı bir çağrının varlığını gizlemek için bir EBP (Extended Base Pointer) zinciri kullanarak yığını traverse eder ve gerçek yığın çerçevelerini sahte çerçevelerle değiştirir.”

Önceki sürümlerinde olduğu gibi Hijack Loader, Heaven’s Gate tekniğini kullanarak 64-bit doğrudan sistem çağrılarını işlem enjeksiyonu için çalıştırıyor. Ek olarak, engellenen süreçler listesi güncellendi ve Avast Antivirus’e ait “avastsvc.exe” bileşeni bu listeye dahil edildi. Bu değişiklik, kötü amaçlı yazılımın çalıştırılmasını beş saniye geciktirerek güvenlik yazılımlarını atlatmayı amaçlıyor.

 

Hijack Loader Yeni Modüllerle Gelişmeye Devam Ediyor

Kötü amaçlı yazılım, ANTIVM ve modTask adlı iki yeni modülü de bünyesine ekledi. ANTIVM, sanal makineleri tespit etmek için kullanılırken, modTask, zamanlanmış görevler aracılığıyla sistemde kalıcılık sağlamaya yönelik tasarlandı.

Bu bulgular, Hijack Loader’ın operatörleri tarafından aktif olarak geliştirilmeye devam ettiğini ve analiz ile tespit süreçlerini daha karmaşık hale getirmeyi amaçladığını gösteriyor.

SHELBY Kötü Amaçlı Yazılımı, Komuta ve Kontrol İçin GitHub’ı Kullanıyor

Öte yandan, Elastic Security Labs, SHELBY olarak adlandırılan yeni bir kötü amaçlı yazılım ailesini ortaya çıkardı. Bu yazılım, GitHub’ı komuta ve kontrol (C2) merkezi, veri sızdırma ve uzaktan kontrol için kullanıyor. Bu zararlı faaliyetler, REF8685 olarak izleniyor.

Saldırı zinciri, oltalama e-postası ile başlatılıyor ve hedefe ZIP arşivi olarak dağıtılıyor. Bu arşiv içinde, .NET tabanlı bir ikili dosya bulunuyor. Bu dosya, SHELBYLOADER (“HTTPService.dll”) olarak izlenen bir DLL yükleyicisini çalıştırmak için DLL yan yükleme (DLL side-loading) tekniğini kullanıyor.

Söz konusu oltalama e-postaları, Irak merkezli bir telekomünikasyon firmasına gönderildi. Dahası, bu e-postalar, doğrudan hedeflenen kuruluş içinden gönderilmiş gibi görünecek şekilde düzenlendi.

 

SHELBY Kötü Amaçlı Yazılımı, GitHub Üzerinden Komuta ve Kontrol Sağlıyor

Yükleyici, GitHub’ı komuta ve kontrol (C2) merkezi olarak kullanarak saldırganların kontrol ettiği bir “License.txt” dosyasından 48 baytlık belirli bir değeri alıyor. Bu değer, AES şifreleme anahtarını oluşturmak ve ana arka kapı yükünü (“HTTPApi.dll”) şifresini çözerek belleğe yüklemek için kullanılıyor. Bu süreçte, kötü amaçlı yazılım disk üzerinde tespit edilebilecek herhangi bir iz bırakmıyor.

Elastic’e göre:
“SHELBYLOADER, sanal veya izlenen ortamları tespit etmek için sandbox algılama teknikleri kullanıyor. Yürütüldüğünde, elde ettiği sonuçları C2 sunucusuna geri gönderiyor. Bu sonuçlar, her algılama yönteminin bir sandbox ortamını başarıyla tespit edip etmediğini gösteren günlük dosyaları olarak paketleniyor.”

SHELBYC2 arka kapısı, saldırgan tarafından kontrol edilen GitHub deposunda bulunan “Command.txt” adlı dosyadaki komutları analiz ederek:

  • GitHub deposuna dosya yükleme/indirme,

  • .NET tabanlı ikili dosyaları bellekte çalıştırma,

  • PowerShell komutlarını çalıştırma
    gibi işlemleri gerçekleştirebiliyor.

Burada dikkat çeken nokta, C2 iletişiminin, GitHub üzerindeki özel bir depoya yapılan commit’ler aracılığıyla sağlanmasıdır. Bu süreçte Personal Access Token (PAT) kullanılıyor.

Şirketin açıklamasına göre:
“Bu kötü amaçlı yazılımın yapısı gereği, PAT (Personal Access Token) sahibi olan herkes, saldırgan tarafından gönderilen komutları alabilir ve herhangi bir kurban makineden gelen komut çıktısına erişebilir. Bunun nedeni, PAT token’ının ikili dosya içinde gömülü olması ve elde eden herkes tarafından kullanılabilmesidir.”

Emmenhtal Yükleyicisi, 7-Zip Dosyaları ile SmokeLoader Yayılmasını Sağlıyor

Ödeme temalı oltalama e-postaları, Emmenhtal (aka PEAKLIGHT) adlı yeni bir kötü amaçlı yazılım yükleyicisini dağıtmak için kullanılıyor. Bu yükleyici, daha sonra SmokeLoader adlı kötü amaçlı yazılımı sistemlere bulaştıran bir geçit görevi görüyor.

SmokeLoader, .NET Reactor ile Tespit Edilmekten Kaçınıyor

GDATA’ya göre, analiz edilen SmokeLoader örneğinde dikkat çeken tekniklerden biri, .NET Reactor kullanımının tespit edilmesi oldu. .NET Reactor, ticari bir .NET koruma aracı olup kod gizleme (obfuscation) ve paketleme işlemleri için kullanılıyor.

GDATA şu ifadeleri kullandı:
“SmokeLoader geçmişte Themida, Enigma Protector ve özel şifreleyiciler gibi paketleyiciler kullanıyordu. Ancak, .NET Reactor’un tercih edilmesi, özellikle hırsızlık amaçlı kötü amaçlı yazılımlar (stealers) ve yükleyicilerde gözlemlenen eğilimle örtüşüyor. Bunun nedeni, .NET Reactor’ün güçlü anti-analiz mekanizmalarına sahip olmasıdır.”