olarak bilinen yeni ortaya çıkan kötü amaçlı yazılım SSLYükleme Siber güvenlik firması Intezer’in bulgularına göre, PhantomLoader adlı daha önce belgelenmemiş bir yükleyici aracılığıyla teslim ediliyor.
Güvenlik araştırmacıları Nicole Fishbein ve Ryan Robinson, “Yükleyici, dosyaya ikili yama uygulayarak ve tespitten kaçınmak için kendi kendini değiştiren teknikler kullanarak, genellikle EDR veya AV ürünleri olan meşru bir DLL’ye eklenir.” söz konusu bu hafta yayınlanan bir raporda.
Farklı dağıtım yöntemleri nedeniyle muhtemelen Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modeli kapsamında diğer tehdit aktörlerine sunulan SSLoad, kimlik avı e-postaları yoluyla sistemlere sızıyor, keşif gerçekleştiriyor ve ek kötü amaçlı yazılım türlerini kurbanlara gönderiyor.
Palo Alto Networks Unit 42 ve Securonix’in önceki raporları, genellikle istismar sonrası amaçlar için kullanılan meşru bir düşman simülasyon yazılımı olan Cobalt Strike’ı dağıtmak için SSLoad’ın kullanıldığını ortaya çıkardı. Kötü amaçlı yazılım Nisan 2024’ten bu yana tespit edildi.
Saldırı zincirleri genellikle, başlatıldığında enfeksiyon dizisini başlatan bir MSI yükleyicisinin kullanımını içerir. Özellikle, C/C++ ile yazılmış ve 360 Total Security (“MenuEx.dll“).
İlk aşamadaki kötü amaçlı yazılım, Rust tabanlı bir indirici DLL olan yükü çıkarmak ve çalıştırmak için tasarlandı; bu dosya, ayrıntıları sunucuların sunucuları tarafından kontrol edilen aktör kontrollü bir Telegram kanalında kodlanmış olan uzak bir sunucudan ana SSLoad yükünü alıyor. ölü damla çözümleyici olarak.
Yine Rust’ta yazılan son veri, ele geçirilen sistemin parmak izini alıyor ve bilgiyi bir JSON dizisi biçiminde komut ve kontrol (C2) sunucusuna gönderiyor, ardından sunucu daha fazla kötü amaçlı yazılım indirme komutuyla yanıt veriyor.
Araştırmacılar, “SSLoad’ın keşif toplama, tespitten kaçma girişiminde bulunma ve çeşitli dağıtım yöntemleri ve teknikleri yoluyla daha fazla yük dağıtma yeteneğini gösterdiğini” belirterek, dinamik dize şifre çözme ve hata ayıklama önleme önlemlerinin “karmaşıklığını ve uyarlanabilirliğini vurguladığını” ekledi.
Bu gelişme, kimlik avı kampanyalarının aşağıdakiler gibi uzaktan erişim truva atlarını yaydığı da gözlemlendiğinde ortaya çıktı: JScript RAT Ve Remcos RAT sunucudan alınan komutların kalıcı olarak çalıştırılmasını ve yürütülmesini sağlamak için.
