CountLoader: Yeni Bir Siber Tehdit
Son dönemde siber güvenlik araştırmacıları, CountLoader adında yeni bir kötü amaçlı yazılım yükleyici keşfetti. Bu yazılım, Rusya merkezli fidye yazılım grupları tarafından, Cobalt Strike, AdaptixC2 gibi post-exploitation araçları ve PureHVNC RAT adıyla bilinen bir uzaktan erişim trojanını dağıtmak için kullanılıyor. Silent Push tarafından yapılan bir analizde, CountLoader’ın bir İlk Erişim Aracısı (IAB) araç setinin parçası olarak veya LockBit, Black Basta ve Qilin fidye yazılım gruplarıyla bağlantılı bir fidye yazılımı ortakları tarafından kullanıldığı belirtildi.
Çeşitli Versiyonları ve Hedef Alımı
CountLoader, .NET, PowerShell ve JavaScript olmak üzere üç farklı versiyonuyla karşımıza çıkıyor. Özellikle, Ukrayna’da bireyleri hedef alan bir kampanyada, PDF tabanlı phishing tuzakları kullanılarak, Ukrayna Ulusal Polisi’ni taklit ederek kurbanları avlıyor. Kaspersky, PowerShell versiyonunun daha önce DeepSeek ile ilişkili tuzaklar kullanılarak dağıtıldığını da gün yüzüne çıkardı.
BrowserVenom ve Kullanıcı Bilgilerinin Toplanması
Rus siber güvenlik firması, yapılan saldırıların BrowserVenom adındaki bir implantın dağıtımına neden olduğunu bildirdi. Bu implant, tarayıcı oturumlarını yeniden konfigüre edip, tehlikeli aktörlerin kontrol ettiği bir proxy üzerinden trafik yönlendirmesi yaparak, ağ trafiğini manipüle etme ve veri toplama yeteneğine sahiptir.
Silent Push’un araştırmaları, JavaScript versiyonunun, dosya indirmek için altı farklı yöntem sunduğunu ve çeşitli kötü amaçlı yazılım ikili dosyalarını çalıştırmak için üç farklı yöntem geliştirdiğini ortaya koydu. Ayrıca, bu yükleyici kurbanın cihazını Windows domain bilgileri ile tanımlayabilen ön tanımlı bir işlev sunuyor.
Periyodik Görevler ve Süreklilik Sağlama
CountLoader, sistem bilgilerini toplamanın yanı sıra, Chrome web tarayıcısı için bir güncelleme görevi gibi davranan planlanmış görevler oluşturarak ev sahibi üzerinde süreklilik sağlıyor. Yükleyici, uzaktaki bir sunucu ile bağlantı kurarak ek talimatlar bekleyebiliyor. Ayrıca, rundll32.exe ve msiexec.exe kullanarak DLL ve MSI yüklemelerini indirme ve çalıştırma yeteneğine sahip. Kullanılan altı farklı dosya indirme yöntemi, curl, PowerShell, MSXML2.XMLHTTP, WinHTTP.WinHttpRequest.5.1, bitsadmin ve certutil.exe‘yi içeriyor.
LOLBins ve Geliştirici Yetkinliği
CountLoader’ın geliştiricileri, certutil ve bitsadmin gibi LOLBin‘lerden yararlanarak ve “anında” komut şifreleme oluşturan bir PowerShell jeneratörü uygulayarak, Windows işletim sistemi ve kötü amaçlı yazılım geliştirme konusundaki derin bilgi ve yetkinliklerini sergiliyor. CountLoader’ın dikkate değer bir yönü de, kurbanın Müzik klasörünü kötü amaçlı yazılım için bir hazırlık alanı olarak kullanmasıdır. .NET versiyonu, JavaScript versiyonu ile bazı ortak işlevlere sahip olsa da, yalnızca iki farklı komut türünü (UpdateType.Zip veya UpdateType.Exe) destekliyor ve bu da onu daha sınırlı bir versiyon yapıyor.
Daha Geniş Bir Altyapı ve Destekleyici Araçlar
CountLoader, 20’den fazla benzersiz alan içeren bir altyapı tarafından destekleniyor ve kötü amaçlı yazılım, Cobalt Strike, AdaptixC2 ve PureHVNC RAT için bir iletim aracı olarak görev yapıyor. Öne çıkan bir araç olan PureHVNC RAT, PureCoder olarak bilinen bir tehdit aktöründen ticari bir teklif olarak karşımıza çıkıyor. PureHVNC RAT, PureRAT olarak da bilinen, daha önceki bir sürüm olarak dikkat çekiyor.
Son zamanlarda PureHVNC RAT’ı dağıtan kampanyalar, ClickFix sosyal mühendislik taktiğini kullanarak hedeflerine ulaşıyor. Kurbanlar, sahte iş teklifleri ile ClickFix phishing sayfasına çekiliyor. Check Point tarafından yapılan açıklamada, saldırganların sahte iş ilanları vasıtasıyla kurbanları çektiği ve ClickFix phishing tekniği ile kötü amaçlı PowerShell kodu çalıştırdığı belirtildi.
Rusya Merkezli Fidye Yazılım Ekosistemi
DomainTools Investigations ekibi, Rus fidye yazılımı ortamının birbirine bağlı doğasını ortaya çıkardı. Çeşitli gruplar arasında tehdit aktörlerinin hareketlerini ve AnyDesk ile Quick Assist gibi araçların kullanımını tanımladı. Bunun yanı sıra, “Bu operatörler arasında marka sadakati zayıtmış gibi görünüyor ve insan kaynağı, belirli kötü amaçlı yazılım türlerinden ziyade ana varlık olarak öne çıkıyor” ifadesi dikkat çekiyor. Bu bireyler, tanıdıkları insanlarla çalışmayı tercih ediyor, bu da onları birlikte çalışmaya zorlayan güven ilişkilerinin önemini vurguluyor.
